Google - Szczegółowe informacje o bezpieczeństwie witryny

[mariuszad]

Witam

Mam pytanie odnoście komunikatów z googla. Ostatnio sprawdziłem na http://webconfs.com/google-malware-check.php i mam takie informacje:

Kod: [Zaznacz]

Aktualny stan:
Niegroźna
Funkcja Bezpieczne przeglądanie nie wykryła ostatnio szkodliwych treści w witrynie mojadomena.pl.

Kod: [Zaznacz]

Szczegółowe informacje o bezpieczeństwie witryny
Niektóre strony tej witryny przekierowują użytkowników na niebezpieczne witryny, które instalują złośliwe oprogramowanie na ich komputerach, np. ist-keine-schan.de.

Jak sprawdzić czy z mojej witryny faktycznie jest takie przekierowanie? Od dawna nic takiego nie zauważyłem mimo iż bardzo często odwiedzam stronę. Żaden antywirus nie zgłaszał problemów ja również nigdy nigdzie nie zostałem przekierowany. W logach serwera www ist-keine-schan.de w ogóle nie występuje.

I jeszcze drugi komunikat :

Kod: [Zaznacz]

Niebezpieczne witryny, np. bpchelm.pl i eurobase.biz, kierowały użytkowników do tej witryny.

- czy jest jakiś sposób aby usunąć/zablokować te przekierowania ?

Pozdrawiam
Mariusz

[Paweł Kraszewski]

ad1: Zobacz surowe pliki PHP z poziomu serwera, czy nikt nie wstrzyknął ci syfu bezpośrednio w kod strony.

ad2. Nic z tym nie zrobisz.

[mariuszad]

Dzięki za podpowiedź. Właśnie przeszukałem poleceniem ack katalogi z plikami mojej strony pod kontem występowania frazy ist-keine-schan.de. Polecenie jednak nie zwróciło żadnych wyników. Dla pewności przeszukałem pod kątem frazy zakodowanej w Base64 i też nic. Przeszukałem tabele w mysql - 0.

Może masz jeszcze jakiś pomysł jak sobie z tym poradzić ?

Pozdrawiam
Mariusz

[Paweł Kraszewski]

Wstrzyknięcie linka z obfuskowanego kodu JS - możesz ruski rok szukać linku w postaci jawnej...

Wygrepuj sobie wszystkie kody JS na stronach i skup się na tych umieszczonych w dziwnych miejscach (głównie na końcu pliku i w plikach nie będących szablonem).

[mariuszad]

Na coś wpadłem ale muszę się upewnić. Potrzebna mi do tego modyfikacja poniższego polecenia tak aby do wyników wyszukiwania "fraza" dopisywało nazwę pliku z którego pochodzi znaleziony fragment.

Kod: [Zaznacz]

  find /var/www/folder -type f  -name  "*.js"  -exec grep "fraza" {} > /jakisplik.txt \; 

Mogę liczyć na pomoc ?

Pozdrawiam
Mariusz

[Paweł Kraszewski]

Neh, nie tak.

Syf może być:
* bezpośrednio w tagu <script> wklejonym gdzieś w pliku (czyli nie zaciągany z pliku JS)
* zaciągany przez tag <script src="ścieżka" type="text/javascript">, ścieżka niekoniecznie musi mieć rozszerzenie JS.
* serwowany przez <iframe src="ścieżka">.

W przypadkach 2 i 3 ścieżka może prowadzić poza Twoją domenę, ale niekoniecznie od razu do ist-keine-schan.de.

Jak chcesz (i możesz), to zarchiwizuj cały kod PHP (bez baz), np 7ZIPem na hasło i podeślij mi mailem (adress taki jak Jabber w moim profilu). Mogę niezobowiązująco rzucić okiem, czy nie ma jakiś nieregularności.

[mariuszad]

Witam

Jeżeli to nie problem to chętnie skorzystam z Twojej propozycji.

Pozdrawiam
Mariusz

[Paweł Kraszewski]

Jakby był problem, to bym nie proponował.
pkraszewski w domenie linux.pl.