PIWIK a Ta witryna mogła paść ofiarą ataku

[stilly]

Ostatnio spotkałem się z bardzo dziwną sytuacją.

Po umieszczeniu statystyk PIWIK'a Google umieściło na większości podstron serwisu adnotacje

"Ta witryna mogła paść ofiarą ataku"

Fakt jest taki, że statystyki umieszczone są na innej domenie niż strona z adnotacją.

Zastanawiam się czy wywalić statystyki, dać stronę do ponownej weryfikacji czy po prostu poczekać?

Dodam, że sprawdziłem wszystkie pliki i są czyste.

Spotkał się ktoś z podobną sytuacją?

[artur5236]

Używam Piwika na wszystkich swoich stronach i nigdy nie miałem takiego problemu. Przyczyny szukałbym gdzie indziej.

[k0l3c]

Ja używam i miałem. Oczywiście później było kilka aktualizacji, ale to i tak chyba przeszło mi przez wordpressa lub notepada++.

Zobacz czy do między innymi index.php nie dopisał Ci się kod w javie, łatwo to wyłapać.

[spookypld]

Ja używam i miałem. Oczywiście później było kilka aktualizacji, ale to i tak chyba przeszło mi przez wordpressa lub notepada++.

Zobacz czy do między innymi index.php nie dopisał Ci się kod w javie, łatwo to wyłapać.

Tłumacząc to co napisał kolega powiedziałbym, że gdzieś dodał Ci się wirus i niekoniecznie miało to związek z Piwikiem. Podstawowe pytanie w takim przypadku - jakiego używasz programu do FTP?

[agtile]

Tłumacząc to co napisał kolega powiedziałbym, że gdzieś dodał Ci się wirus i niekoniecznie miało to związek z Piwikiem. Podstawowe pytanie w takim przypadku - jakiego używasz programu do FTP?

Dobre pytanie.

W przeszlosci uzywalem dos dlugo FileZilla w pewnym momencie zaczely mi sie wlamy na serwery co jakis czas. Dlugo myslalem ze moze to cos innego ale po tym co przeczytalem na necie na temat slabosci FZ wiem ze to nie byl przypadek.

Od kiedy zmienilem na Win SCP problem zniknal.

Oczywiscie najpierw musi byc zainfekowany PC aby trojan czy inny wirus mogl wykozystac ftp client ale faktem jest ze FZ ma jakies luki.

[artur5236]

Najbezpieczniej nie zapisywać haseł w programie do FTP.

[ap_seo]

a jak bedziesz miec keylogera...

[VMline]

Bez przesady, keyloggery nie są teraz tak używane, jak automatyczne wirusy kradnące hasła z klientów ftp, które potem z automatu doklejają kod. To jest jedna opcja, druga jest taka, że masz dziurawy plugin o ile używasz WordPresa lub Joomla.

[agtile]

Najbezpieczniej nie zapisywać haseł w programie do FTP.

Tak,zgadza sie,to jest wazne, zapomnialem o tym wczesniej dodac bo juz tez nie zapisuje hasel od kiedy przesiadlem sie na winscp, plus lacze sie tylko na SFTP.

[k0l3c]

Reasumując. Jak wywaliłem ten złośliwy kod, nie zmieniłem chyba nawet haseł? w każdym razie zaktualizowałem wordpressy i już nie było takich problemów.

Z tego co wtedy wykopałem i ktoś mi zresztą tu napisał na forum, sporo było informacji, że TotalCommander miał dziurawą wtyczkę przez którą ten kod się rozsiewał.

Ja go nie używałem (wtedy łączyłem się tylko przez stronę, ftp.windowsa i notepad++) więc stawiam na te wordpressy, były zaniedbane przeze mnie pod względem aktualizacji.

[kolox9]

Witam,

Mam powazny problem. Moj portal www.oldtimery.com stracił ostatnio sporo wejśc z google. Myslałem, że to ze względu na okres wakacyjny ale okazało się, że googl dodał do mojaj strony adnotację: Ta witryna mogła paść ofiarą ataku.

widac tu: https://www.google.pl/search?q=ioldtimery.com&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:pl:official&client=firefox-a#hl=pl&client=firefox-a&hs=JgV&pwst=1&rls=org.mozilla:pl%3Aofficial&sclient=psy-ab&q=stare+samochody&oq=stare+samochody&gs_l=serp.3..0l4.3049.3049.1.3230.1.1.0.0.0.0.129.129.0j1.1.0...0.0...1c.CxaqBEe3L30&pbx=1&bav=on.2,or.r_gc.r_pw.r_cp.r_qf.,cf.osb&fp=2dfa767ee872075e&biw=1139&bih=668

Tak jak koledzy wcześniej napisali mam FZ i możliwa, że wpakował mi się jakiś wirus.

Mam pytanie co po za usunięciem wyrusa mogę zrobić?

Czy mogę zgłosić do google, że moja strona jest już bezpieczna?

[stilly]

https://webcache.goog...lient=firefox-a

U siebie znalazłem w logach wejście przez panel administracyjny. Joomla 1.5 posiadał podatność pomimo "aktualnej wersji"

Najlepiej zrobić dodatkowe logowanie poprzez .htaccess , zmienić hasła i sprawdzić ostatnio modyfikowane pliki.

Cholerstwo jest zakodowane w base64 2-krotnie i prowadzi do amerykańskich i holenderskich serwerów "SWL".

Być może skanowali cię botnetem na brutala każde hasło do panelu.

Najlepiej sprawdź logi z daty edycji pliku /templates/TWOJSZABLON/index.php o ile dobrze pamiętam.

Trzymaj się!

@edit

Po wyczyszczeniu z syfa zapuść ping na strony które miały syfa po 2-3 tygodniach samo przejdzie

[kolox9]

Bardzo Ci dziękuje, juz mi pimogłeś. Niestety farma linków niby jest ale nigdzie jej nie ma. Nie moge jej namierzyć. Jeżeli ktoś moze mi pomóc to byłbym wdzieczny.

[gryzoń]

Czasem zakodowane w javascript może być.

[kolox9]

Już znalazłem programistę, który sie z tym uporał. Jeszcze nie wiem jak to zrobił ale jak sie dowiem to napiszę (moze komus się przyda ta wiedza)

Jeszcze raz dziękuję Wam za wskazówki - bez nich byłoby bardzo trudno