Foorumi ilmoitettu Hyökkäyssivustoksi

phpBB3 ongelmia. Neuvoja ja ohjeita kuinka korjata.
MOD kysymykset, niiden asennukset ja omien muokkausten ongelmat alempana olevalle MOD alueelle.
rattoristi
Hyvässä vauhdissa
Hyvässä vauhdissa
Viestit:11
Liittynyt:19 Helmi 2008, 20:05
Foorumi ilmoitettu Hyökkäyssivustoksi

Viesti Kirjoittaja rattoristi » 12 Maalis 2013, 08:21

Tervehdys!

Google on todennut foorumini hyökkäyssivustoksi. Tässä ohessa näkyy tuo googlen antama raportti, jonka mukaan on käynyt tarkistamassa foorumin 9.3. ja löytänyt sieltä pöpöjä. Nyt tuo googlen webmaster tools antaa seuraavan ilmotuksen 37 eri url-osoitteeseen foorumilla: (osoitteet on liitteenä tässä viestissä)
When Google last tested this page, no content was returned from your server. Instead, the browser was redirected to a malicious web page. We recommend you check your server configuration files (such as Apache's .htaccess) for any unauthorized changes and reference our guidelines for cleaning your site and requesting a review.
Eli tuon mukaan foorumilla olisi linkkejä malware-sivustoille?
Kuitenkin nuissa googlen tarjoamissa haitallisissa url-osoitteista en ainakaan minä huomaa mitään mikä viittaisi siihen, että sivuja olisi peukaloitu, eikä niissä ole roskapostirobottien lähettämiä viestiä, eikä oikeiden foorumin käyttäjien laittamia linkkejä epäilyttäville sivuille :eh:

http://www.belkku.fi/foorumi/index.php

Tyylejä ei ole lisäilty, eikä juuri muitakaan muutoksia tehty.
Päivitin foorumin n. kuukausi siten versioon 3.0.1
Palveluntarjoaja on Osuuskunta Satatuuli, http://satatuuli.fi/

Mitähän tässä voisi tehdä?
Liitteet
malware_urlosoitteet.txt
(2.12KiB)Tiedosto ladattu 474 kertaa
Ilmoitus2.jpg

rattoristi
Hyvässä vauhdissa
Hyvässä vauhdissa
Viestit:11
Liittynyt:19 Helmi 2008, 20:05

Re: Foorumi ilmoitettu Hyökkäyssivustoksi

Viesti Kirjoittaja rattoristi » 15 Maalis 2013, 21:54

Eikö ole kellään mitään ideaa?

Onko tiedossa semmosta ammattilaista joka palkkaa vastaan tämmösen tilanteen setvisi?

mestis
MODaaja
MODaaja
Viestit:69
Liittynyt:20 Helmi 2013, 17:51

Re: Foorumi ilmoitettu Hyökkäyssivustoksi

Viesti Kirjoittaja mestis » 21 Maalis 2013, 10:22

Hei.
Virustotalin mukaan ainoastaan google havaitsee "haittaohjelmia"
https://www.virustotal.com/fi/url/b1338 ... 363854059/

Eli sivusi on turvallinen.
Ellet ole ladannut sinne jotakin epäilyttävää.

rattoristi
Hyvässä vauhdissa
Hyvässä vauhdissa
Viestit:11
Liittynyt:19 Helmi 2008, 20:05

Re: Foorumi ilmoitettu Hyökkäyssivustoksi

Viesti Kirjoittaja rattoristi » 21 Maalis 2013, 18:09

Jaahas, jotakin tuon googlenkin suhteen täytyy kuitenkin yrittää tehdä, etteivät käyttäjät turhaan pelkää vierailla foorumilla...

rattoristi
Hyvässä vauhdissa
Hyvässä vauhdissa
Viestit:11
Liittynyt:19 Helmi 2008, 20:05

Re: Foorumi ilmoitettu Hyökkäyssivustoksi

Viesti Kirjoittaja rattoristi » 21 Maalis 2013, 20:59

Latasin foorumitiedostot omalle koneelle ja tarkistin avastilla, löysi 80 tiedostosta tartunnan:
PHP:Redirector-Z[Trj]
Elikkä troijalainen pirulainen päässyt jostakin foorumille :shock:

Onko voinut palvelimelta tulla, siellä on ollut useita palvelunestohyökkäyksiä?
Omalta koneelta en ole avastilla vielä löytänyt mitään mömmöjä. Onkohan tuo avastin ilmaisversio kuinka luotettava, vai pitäisikö oman koneen puhtaus todentaa jotenkin muuten vielä?

Pettis
The Admin
The Admin
Viestit:122
Liittynyt:04 Tammi 2007, 15:04
Viesti:

Re: Foorumi ilmoitettu Hyökkäyssivustoksi

Viesti Kirjoittaja Pettis » 23 Maalis 2013, 12:43

Yksi mahdollisuus on se, että palvelimella on ollut jokin sovellus jonka kautta pahikset on päässeet omia muokkauksia tiedostoihin tekemään. Esimerkiksi jos jaetulla palvelimella tiedostojen oikeudet eivät ole kunnossa, voi tämä ohjelma olla muillakin. Tai sitten phpBB-versiosi on ollut vanhentunut ja siinä on ollut aukko joka mahdollistaa tiedostojen muokkaamisen tai jotain muuta. Mahdollisuuksia on monia.

Tutkin jo aikaisemmin tuota sivustoasi ja en itse selaimen varoitusten lisäksi huomannut sivustolla muuta haitallista. Tuo PHP-koodissa tms. oleva haittakoodi kuitenkin mahdollistaa sen, että esimerkiksi vain hakukoneet ohjataan eri sivustolle. Jos käytät webmaster-toolsia, niin kokeileppa käyttää sen "Fetch as googlebot" ominaisuuttaa ja katsoa mitä se sille palauttaa. Saattaa olla eri tulos kuin mitä saat itse vierailemalla kyseisellä sivulla.

Webmaster toolsin kautta sinun pitäisi myös pystyä ilmoittamaan googlelle kun olet tiedostot siivonnut. Tosin se kannattaa tehdä vasta sitten kun on myös tuon tiedostojen muokkauksen mahdollistanut aukkokin tukittu.

rattoristi
Hyvässä vauhdissa
Hyvässä vauhdissa
Viestit:11
Liittynyt:19 Helmi 2008, 20:05

Re: Foorumi ilmoitettu Hyökkäyssivustoksi

Viesti Kirjoittaja rattoristi » 26 Maalis 2013, 21:56

Kiitoksia vastauksista.

Päivitykset olivat kyllä myöhässä, mutta tuo googlen ilmoitus tuli vasta sen jälkeen kun päivitin uusimpaan versioon. Voihan toki olla, että haitallinen koodi oli jo vanhassa foorumissa ja siirtyi päivityksessä uuteen.

Korvasin foorumitiedostot uusilla ja vaiva hävisi, varmuutta siitä, mistä pöpöt on tullu ei vieläkään ole, mutta jos se nyt pysyy puhtaana niin hyvä sitten...

Viestiketju Lukittu

Paikallaolijat

Käyttäjiä lukemassa tätä aluetta: Bing [Bot] ja 65 vierailijaa