ataki na stronę a pozycja w google

[Łukasz Janik]

Witam.

Ostatnio miałem kilka włamań na swój serwer, który mam wykupiony w nazwie. Głównie to dodane wpisy w plikach php bądź w .htaccess które kierowały wyniki w wyszukiwarce na inną rosyjską stronę. Niestety niektóre wpisy pojawiły się podczas mojego urlopu i przez trochę ponad tydzień strona w wyszukiwarce spadła z 1 strony na 11 i nadal spada. Jak można się domyśleć gwałtownie spadł również ruch na mojej stronie. Aktualizacja CMSów do najnowych, zmiana uprawnień na plikach niewiele dała i włamania są dokonywane nadal. Myślę nad zmianą usługodawcy, gdzie nie będę miał swojego zewnętrznego ip bo już więcej pomysłów nie mam. Ale do rzeczy. Czy tak drastyczny spadek może być przyczyną włamań? Jak spróbować powrócić na swoją pozycję. Proszę o radę.

[gibki]

Widocznie uaktywnił się znów [ osoba domniemana o popełnienie przestępstwa lub wykroczenia ] haseł z total commandera - był z tym dość powszechny problem chyba w zeszłym roku. Zmień hasło do ftp i nie zapisuj go w total commanderze. Później napraw pliki.

Jeśli przy stronie w wynikach wyszukiwania nie wyświetla się ostrzeżenie o infekcji, to spadek może być zwyczajnie spowodowany wirem.

edit: [ osoba domniemana o popełnienie przestępstwa lub wykroczenia ] = trojan

[Łukasz Janik]

nie korzystam już z total commandera, używam filezilla i nic to nie zmienia, dodatkowo w nazwie ograniczyłem dostęp do konta tylko i wyłącznie po moim ip. Nic nie dało. Dzięki za opdowiedź, będę próbował powrócić na swoje miejsce.

[gibki]

O ile mnie pamięć nie myli, to nawet po ograniczeniu dostępu - jeśli pominąłeś jakiś zainfekowany plik to może się to rozprzestrzeniać

[deha21]

Sprawdź czy nie powstały jakieś nowe pliki i czy w kodzie html stron nie ma czegoś dopisanego. Bo tak jak pisze gibki, nawet jak zmienisz hasła to dalej na serwerze możesz mieć spreparowany plik przez który będą mieli dostęp do twojej strony.

[tazzek]

Pewnie coś u Ciebie na kompie siedzi. Combofix, Spybot Search&Destroy i jakimś dobry antywirus powinny załatwić sprawę.

Wyszukaj na serwerze we wszystkich plikach tego ciągu znaków, może jeszcze czegoś zapomniałeś usunąć.

Jak miałeś tyle czasu przekierowania to się nie dziw, ze stronka tyle poleciała. Ale zrób to co napisałem wyżej i powinno być oki.

[Gość]

J/w - wystarczy jeden dodatkowy plik php na serwerze, być móc modyfikować/usuwać co się chce w obrębie konta użytkownika.

[Łukasz Janik]

Miałem dwa rodzaje ataków. Jeden z dopisanym kodem. Wyszukałem je wszystkie w psppadzie po wpisie code64 z tego co pamiętam, potem strona trafiła jako dokonująca ataków. Okazało się, że usunąłem złośliwe wpisy w plikach php ale pominąłem pliki html. Po tym miałem kilka tygodni spokoju. Ostatnie ataki były dla mnie trudne bo nie znalazłem żadnego złośliwego kodu. Po całym dniu poszukiwań trafiłem na jeden wpis w .htaccess. Usunąłem go i na 5 serwisów które mam (3x joomla, 1x phpfusion i sklep oscommerce) przekierowanie po tygodniu od zmiany wpisu w pliku nie zniknęło ze sklepu. Mam kopie zapasową z nazwy sprzed jakichkolwiek ataków i po nadpisaniu plików nadal dzieje się to samo. Na komputerze mam zainstalowanego oryginalnego kasperskiego i demo trojan removera więc sądzę, że na 100% mam usunięte dodatkowe pliki oraz żaden robal mi nie siedzi na kompie. Od 2005 roku prowadzę swoją stronę w bardzo starej i nigdy nie aktualizowanej joomli na hostingu internetdsl i nigdy nic z nią się nie działo.

[luniek88]

Miałem kiedyś podobny problem i udało mi się go rozwiązać w ten sposób:

Przeskanowałem komputer i wywaliłem trojany. Zmieniłem hasło na ftp. Następnie wgrałem na serwer kopię zapasową strony, którą miałem na płycie CD. I pomogło

[Mar_Dal]

Nigdy się z nią nic nie działo ale to nie znaczy, że jest wszystko ok. Jeżeli korzystasz z joomli od tak długiego czasu to powinieneś wiedzieć, że ten cms lubuje się w atakach osób trzecich, niepożądanych. Jak również powinieneś wiedzieć, że regularne aktualizację to podstawowa czynność. Chociażby dlatego aby zmniejszać ryzyko ataków.

[Łukasz Janik]

Nigdy się z nią nic nie działo ale to nie znaczy, że jest wszystko ok. Jeżeli korzystasz z joomli od tak długiego czasu to powinieneś wiedzieć, że ten cms lubuje się w atakach osób trzecich, niepożądanych. Jak również powinieneś wiedzieć, że regularne aktualizację to podstawowa czynność. Chociażby dlatego aby zmniejszać ryzyko ataków.

Trochę źle się wyraziłem gdyż w pierwszym poście napisałem, że joomla i phpfusion jest na bieżąco aktualizowana w nazwie.pl ale też mam serwis w innym miejscu, gdzie mimo bardzo długiego stażu, braku aktualizacji i praktycznie ciągłego korzystania z total commandera nic się tam nie wkradło a idąc tym tokiem myślenia również tam powinienem mieć dodatkowe wpisy. Na filezille przeszedłem w lipcu po zaleceniach z tego forum.

Luniek88 tak jak pisałem powyżej - mam kopie sprzed jakichkolwiek ataków - nic nie zmienia.

Być może wina nie leży w joomli i phpfusion tylko w oscommerce. Skrypt kupiłem na allegro i szczerze to nic z nim nie robiłem a sklep nie zarabia tyle na siebie by płacić za obsługę informatyczną więc staram się robić to samemu.

Wracając do pozycji w google to spróbuje dodać stronkę do różnych katalogów, może trochę mailingu i będę walczył o swoje stare miejsce.

[Mar_Dal]

Jak to kupiłeś OsCommerce'a ? Przecież on jest za free.