Скрытые ссылки, как найти источник на сайте?

dimon7772

Профессор
Регистрация
30 Апр 2013
Сообщения
170
Реакции
41
Господа, нужна помощь, бьюсь уже второй день, не могу найти источник генератор внешних ссылок.
Недавно на сайте стали появляться страницы типа:
MontajLift.ru/phils-rayban-web-sybsdp.htm
MontajLift.ru/rayban-DKSH-list-yddpue.htm
и т.д.
При заходе на страницу, происходит переадресация на сайт shiningsunglasses точка co.
Поиск по файлам ничего не дал, проблему временно решил запретом на индексацию всех файлов с окончанием на .htm, так как левые ссылки только с таким окончанием, все нужные с окончанием .html.
Какие есть работающие методы которые помогут найти заразу которая генерирует эти страницы?
Для просмотра ссылки Войди или Зарегистрируйся.
 
Ищи по base64, так обычно прячут ссылки.
Рекомендую установить компонент com_rsfirewall (тут на форуме есть с сигнатурами) и просканировать пОциента.
 
Сначала просканировать Для просмотра ссылки Войди или ЗарегистрируйсяДля просмотра ссылки Войди или Зарегистрируйся, вылечить,
а потом rsfirewall, как советовал Для просмотра ссылки Войди или Зарегистрируйся
И впредь прежде, чем ставить варёзные расширения проверять их тем же aibolit-ом
 
MontajLift.ru/phils-rayban-web-sybsdp.htm
MontajLift.ru/rayban-DKSH-list-yddpue.htm
Для просмотра ссылки Войди или Зарегистрируйся.

Выше правильно написали.
Проверяем айболит, дальше компонент ставим, выполняем все его правила + лочим все через .htaccess
Сразу:
Код:
########## Точто будет пробовать и просить сделать RSFirewall 
php_flag register_globals off

php_value disable_functions show_source
php_value disable_functions system
php_value disable_functions shell_exec
php_value disable_functions passthru
php_value disable_functions exec
php_value disable_functions phpinfo
php_value disable_functions popen
php_value disable_functions proc_open

php_value open_basedir "/home/site/public_html/"
AddDefaultCharset utf-8 
Options -Indexes
Options +FollowSymLinks
RewriteEngine On
RewriteBase /

RewriteCond %{HTTPS} OFF
RewriteCond %{SERVER_PORT} 80
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

RewriteCond %{HTTP:Accept-Encoding} gzip
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$  [NC]
RewriteRule (.*) index.php
RewriteCond %{HTTP_REFERER} !^http(s)?://([a-z0-9-]+.)*вашсайт.домен(:80)?(/.*)? [NC]
RewriteRule .*[Zz][Ii][Pp]$|.*[Rr][Aa][Rr]$ https://вашсайт.домен/ [L,R]
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)

########## Блокируем плохиt боты и роботы ##########
SetEnvIfNoCase user-Agent ^FrontPage [NC,OR]
SetEnvIfNoCase user-Agent ^Java.* [NC,OR]
SetEnvIfNoCase user-Agent ^Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) [NC,OR]
SetEnvIfNoCase user-Agent ^Microsoft.URL [NC,OR]
SetEnvIfNoCase user-Agent ^MSFrontPage [NC,OR]
SetEnvIfNoCase user-Agent ^Offline.Explorer [NC,OR]
SetEnvIfNoCase user-Agent ^[Ww]eb[Bb]andit [NC,OR]
SetEnvIfNoCase user-Agent ^Zeus [NC]
<limit get="" post="" head="">
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</limit>

####### блокируем известные типы атак и программ, используемые для атак на сайты.#####
BrowserMatchNoCase ^libwww-perl blocktheaccess
BrowserMatchNoCase .*libwww-FM.* blocktheaccess
BrowserMatchNoCase ^wget blocktheaccess
BrowserMatchNoCase ^TeamSoft blocktheaccess
BrowserMatchNoCase &quot;^Express WebPictures&quot; blocktheaccess
BrowserMatchNoCase ^WebAuto blocktheaccess
BrowserMatchNoCase ^eCatch blocktheaccess
BrowserMatchNoCase ^InterGet blocktheaccess
BrowserMatchNoCase ^DOWNLOAD blocktheaccess
BrowserMatchNoCase ^Java1 blocktheaccess
BrowserMatchNoCase &quot;^Internet Ninja&quot; blocktheaccess
BrowserMatchNoCase &quot;^Teleport Pro&quot; blocktheaccess
BrowserMatchNoCase ^AllThumbs blocktheaccess
BrowserMatchNoCase ^Pockey-GetHTML blocktheaccess
BrowserMatchNoCase .*DnloadMage.* blocktheaccess
BrowserMatchNoCase .*HTTrack.* blocktheaccess
BrowserMatchNoCase .*WebLeacher.* blocktheaccess
BrowserMatchNoCase &quot;^Microsoft URL Control&quot; blocktheaccess
BrowserMatchNoCase ^Webdup blocktheaccess
BrowserMatchNoCase ^WebReaper blocktheaccess
BrowserMatchNoCase ^WebSauger blocktheaccess
BrowserMatchNoCase &quot;^Mister PiX&quot; blocktheaccess
BrowserMatchNoCase &quot;^Offline Explorer&quot; blocktheaccess
BrowserMatchNoCase &quot;^Download Ninja&quot; blocktheaccess
BrowserMatchNoCase ^Linkbot blocktheaccess
BrowserMatchNoCase &quot;.*Link Sleuth.*&quot; blocktheaccess
BrowserMatchNoCase ^SiteSnagger blocktheaccess
SetEnvIf Request_URI &quot;.*/phpwcms&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*/nonexistentfile.php$&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*/xmlrpc.php$&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*/adxmlrpc.php$&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*/cmd.php$&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*shell.php$&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*r57\.php&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*c99\.php&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*mod_pxt_latest\.php&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*functions_mod_user\.php&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*favorites\.php&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*configuration\.php&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*component\.php&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*controller\.php&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*router\.php&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*mosConfig_absolute_path&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*^(.*)CAST(.*)&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*^(.*)DECLARE(.*)&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*base64_encode.*\(.*\)&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*(\&lt;|%3C).*script.*(\&gt;|%3E)&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*GLOBALS(=|\[|\%[0-9A-Z]{0,2})&quot; blocktheaccess
SetEnvIf Request_URI &quot;.*_REQUEST(=|\[|\%[0-9A-Z]{0,2})&quot; blocktheaccess
SetEnvIfNoCase User-Agent &quot;^libwww-perl*&quot; blocktheaccess
Order deny,allow
Deny from env=blocktheaccess

####### / блокировки атак и программ#####
<FilesMatch "\.(js|css)$">
SetOutputFilter DEFLATE
</FilesMatch>
<IfModule mod_expires.c>
ExpiresActive On
ExpiresDefault A600
ExpiresByType image/x-icon A2592000
ExpiresByType application/x-javascript A604800
ExpiresByType text/css A604800
ExpiresByType text/javascript A604800
ExpiresByType image/gif A2592000
ExpiresByType image/png A2592000
ExpiresByType image/jpeg A2592000
ExpiresByType text/html A60
</IfModule>

Таким образом я имею следующее, с конца 2014 не смотря на то что соседние сайты на сервере на джумле подвергались взломом, этот сайт устоял, он начинал где-то с версии 3.3.3 и сейчас уже 3.5.1
Может быть, для кого-то минусом, но теперь поставить расширения через "установку расширений" с загрузкой с админки нельзя, надо качать сначала в сайт, а потом через временную папку ставить.
 
как-то тоже долго бился над скрытыми ссылками, в итоге источник нашел в бд. как реализовывалось уже не помню, т.к. было во времена жумлы 1.1

а ссылка с любой страницы на amеnajari.md должна быть?

3 блок в боди
Скрытое содержимое доступно для зарегистрированных пользователей!


PS: подскажите кто-нибудь как правильно вставить блок с кодом?
 
Последнее редактирование:
Жаль об этом раньше не чего не знал и не сразу нашел эту ветку. Проверил сайт, установленный 2 мес. назад и тоже нашел скрытые ссылки. Только вот сегодня нашел. В шаблоне были:
Код:
<?php include "html/template.php"; ?>
<?php require_once(dirname(__FILE__) .'/css/system.php'); ?>

Которые цепляли:
templates/genius/css/system.php    - выставлял ссылки на всех страницах
templates/genius/html/mods.php     - здесь была ссылка по ходу на накрутки чужого сайт
templates/genius/html/template.php - код этого файла по ходу цеплял ссылку из предыдущего файла
 
Жаль об этом раньше не чего не знал и не сразу нашел эту ветку. Проверил сайт, установленный 2 мес. назад и тоже нашел скрытые ссылки. Только вот сегодня нашел. В шаблоне были:
Код:
<?php include "html/template.php"; ?>
<?php require_once(dirname(__FILE__) .'/css/system.php'); ?>

Которые цепляли:
templates/genius/css/system.php    - выставлял ссылки на всех страницах
templates/genius/html/mods.php     - здесь была ссылка по ходу на накрутки чужого сайт
templates/genius/html/template.php - код этого файла по ходу цеплял ссылку из предыдущего файла
У вас проблема с шаблоном? А шаблон откуда брали? С интернета скачали и не проверили? Уделите должное внимание проверки скаченныз с интернета шаблонов и прочих расширений. Тем самым Вы сократите брешь в безопасности своих сайтов. Удачи в этом :)
 
Это первая установка, к сожалению многого не знал.
Скачивал отсюда:
Для просмотра ссылки Войди или Зарегистрируйся
Львиная доля ссылок ведет на сайт откуда скачивал шаблон:
Для просмотра ссылки Войди или Зарегистрируйся
Часть ссылок на сайты:
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
 
Назад
Сверху