Złośliwe przekierowywanie strony głównej

[Bogdan1]

POMOCY BŁAGAM

Ktoś najprawdopodobniej 10 listopada zrobił jakieś złośliwe przekierowanie strony

Kod: Zaznacz cały

http://www.****.pl/

. Jak dam odśwież to wczytują się jakieś dziwne strony najczęściej erotyczne tak samo inne linki na stronie odwołujące się do strony głównej. Sprawdziłem na ftp-ie, tam żadnych nowych plików nie ma POMOCY. Po wielu testach sprawdzaniu, wchodzeniu na stronę mam takie wrażenie że to ma jakby dwoje drzwi i czasem wybiera właściwe a czasem wchodzi na jakieś dziwne strony. Dodam tylko, że ostatnio miałem kontakt z firmą procreate z Poznania a'propos pozycjonowania, ale się wycofałem. POMOCY BŁAGAM nie umiem sobie z tym poradzić

[cosik_ktosik]

Na razie wg virustotal strona jest czysta. Zaraz zobaczę dalej.
Ale faktycznie przekierowanie jest. Czy dawałeś dostęp do FTP?

-- Cz, 11 lis 2010, 01:27 --

Szukaj przekierowań:
w php

Kod: Zaznacz cały

 header('Location: http://www.jakaswrednastrona.com/');

w javascript:

Kod: Zaznacz cały

window. location ="http://www.jakaswrednastrona.com";

W pliku:
.htacccess

linijek typu:

Kod: Zaznacz cały

redirect 301 / http://jakaswrednastrona/

albo

Kod: Zaznacz cały

RewriteRule (.*) http://jakaswrednastrona/$1 [R=301,L]

[Bogdan1]

Nie ma śladu zmian pliku przynajmniej po datach i godzinach

-- 11 lis 2010, 01:36 --

Czy to oznacza że ktoś włamał się na ftp-a? lub na konto admin?

[cosik_ktosik]

ściągnij wszystko przez FTP na dysk, potem użyj wyszukiwarki dla zawartości plików (może być notepad++) i przeszukaj pliki.

-- Cz, 11 lis 2010, 01:40 --

PS Aktualizuj antywirusa

[Bogdan1]

Ściąga się. W między czasie bardzo dziękuję za szybką reakcję i zadam pytanie czy np. nadgranie kopi strony i bazy danych plus ewentualna zmiana haseł może zagwarantować ponowne bezpieczeństwo serwisu?

[cosik_ktosik]

Powinno, o ile są starsze niż data kiedy to zaistniało. Na tą chwilę mi wykryło z automatu zagrożenie na stronie, jakiś trojan. Dlatego najpierw zainstaluj dobry antywirus.

Możesz też dać logi do sprawdzenia dla naszych ekspertów od wirusów, wykonujesz je wg tego zapisu: bezpieczenstwo/nowy-regulamin-dzialu-bezpieczenstwo-t1887.html

Tam są instrukcje co do użycia programów.

[Bogdan1]

Dostępne tylko dla zarejestrowanych użytkowników

-- 11 lis 2010, 02:01 --

Dostępne tylko dla zarejestrowanych użytkowników

proszę - na 48h.

Dziwna rzecz - teraz ustały przekierowania

[cosik_ktosik]

Temat przeniosę do działu bezpieczeństwa, aby logi mogli zobaczyć nasi eksperci.

[Bogdan1]

Nie to tylko chyba moje modły na chwilę je wstrzymały. Bardzo proszę o pomoc.
Jeśli rozwiąże Pan mi te sprawę ma Pan hiper mega rabat na dowolny produkt w sklepie

[cosik_ktosik]

hehe, nie mam dzieci

Co do logów to pewnie jutro ktoś je sprawdzi.

Co do samej strony, wstrzymałbym się najpierw aż właśnie z nimi będzie wszystko w porządku. Jeśli są wirusy to pewnie nowe pliki zainfekuje.

Na pewno, jeśli plików nie aktualizowałeś od czasu backupu, to ich wgranie na nowo nie zaszkodzi. Jeśli wirus/przekierowanie jest w plikach to problem się naprawi. Jeśli natomiast problem leży w bazie, to będzie gorzej. Trzeba będzie albo ręcznie poszukać albo wgrać nową bazę.

W sumie, jeśli w panelu admina Masz możliwość wyłączenia swojej strony na jakiś obraz testowy to radziłbym to zrobić. Po pierwsze klienci uciekają, a po drugie można bana w google zarobić na taką stronkę, jak ktoś uzna ją za niebezpieczną.

Więc na razie wyłączyłbym stronę, poczekał do rana aż ktoś zobaczy w logi aby mieć pewność że wirusów nie ma, a potem wgraj pliki. Jak to nic nie da, trzeba zająć się samą bazą.

[Bogdan1]

Sprawdziłem przekierowania - nie ma

Sklepu nie mam jak wyłączyć. Czekam na informację od Pana/Państwa

Jeszcze raz bardzo proszę o pomoc.

Ps Jeszcze sobie coś przypomniałem - mianowicie dzwonił dziś ktoś do mnie - przedstawił się z "pkt" i spytał czy mój wpis jest tam aktualny - potem rozmowa przeszła na "jego możliwości pozycjonowania mojej strony" (kierunkowy numer z Łodzi)

[cosik_ktosik]

No to może coś w bazie, poczekaj do jutra na sprawdzenie logów, ewentualnie teraz sam sprawdź komputer antuwirusem, nie mniej logi ktoś powinien zobaczyć. Jak będzie czysto, wgraj backup plików. Jak to nic nie zmieni to wtedy wybór będzie do Ciebie należał: szukamy w bazie czy z backupu starą.

[Bogdan1]

wirusów nie mam - sprawdziłem antywirem - czy ktoś może zidentyfikować źródło przekierowywania?

[djarta]

Logów jest dużo za mało.

1) Wklej logi z OTL

2) Wklej jeszcze logi z Dostępne tylko dla zarejestrowanych użytkowników + Dostępne tylko dla zarejestrowanych użytkowników.

[Lena]

Wchodzenie teraz na Twoją stronę to ryzyko,dlatego cosiczek usunął adres dla bezpieczeństwa innych. W sumie chyba byś się musiał dogadać np z cosiczkiem, utworzyć nowe konto FTP (tymczasowo dla niego)i pozwolić mu na analizę plików albo je spakować i wysłać przez kanał prywatny do niego(nie przez mail ale np przez zakodowanie hasłem i przesłaniem np przez GG czy jakiś hosting). Będzie wieczorem, to pogadaj z nim).