[mp3express]

Hej! Vet inte om detta är rätt forum att posta i men vi har råkat ut för ett script som återkommer gång på gång. Man ser det inte när man tittar i den vanliga källkoden. Men öppnar du indexfilen så ligger där en liten kodsnutt som liknar google analytics men istället så står det google analytix nånting! Sedan en länk.

Detta kodstycke generera länkar till sajter med Viagra och Cialis, detta är endast synligt för
sökmotorerna och indexeras därför i google.

Den ändrar även utf-kodning så att våra bokstäver inte visas rätt!

När vi tagit bort all skräpkod så dyk genast nånting annat upp där det stod gzinflate base64_decode nånting som verkar kryptera scriptet på ett sådant sätt att vi inte kan se vad som händer.

Vi har jobbat med detta i 10 timmar utan att hitta felet eller vart skiten kommer ifrån! Någon som varit med om något liknade?

[Danski]

Du måste nog hitta hur de kan redigera er sida. Troligen en exploit i ert publiceringsverktyg eller sql-injection.

Tills dess kan du ändra hur mycket du vill och spammet kommer ändå fortsätta.

[Netikett]

Går det inte att skrivskydda filerna så länge tills ni hittar problemet?

[mp3express]

Tack för era svar! Vi kör 755 samt har bytt lösen etc. Kollat loggen, men hittar ingenting. Vi kör inget cms utan allt manuellt. Det finns ju en möjlighet att det dyker upp via partnerscript men då borde deras andra kunder också varit drabbade. Det lämnar liksom inga fotspår efter sig. Det hamnar bara i en enda fil och det verkar inte ha för avsikt att skada servern mer än att sprida sina egna länkar i sökmotorer. Du ser alltså inga länkar som beskare men sökmotorerna gör det.

Nån mer som har någon idé om hur att bli av med detta?

[Rvn]

Citat:

Ursprungligen postat av mp3express

Tack för era svar! Vi kör 755 samt har bytt lösen etc. Kollat loggen, men hittar ingenting. Vi kör inget cms utan allt manuellt. Det finns ju en möjlighet att det dyker upp via partnerscript men då borde deras andra kunder också varit drabbade. Det lämnar liksom inga fotspår efter sig. Det hamnar bara i en enda fil och det verkar inte ha för avsikt att skada servern mer än att sprida sina egna länkar i sökmotorer. Du ser alltså inga länkar som beskare men sökmotorerna gör det.

Nån mer som har någon idé om hur att bli av med detta?

Prova ta bort era partners kod och se om det försvinner.

[emilv]

Testa att byta lösenord på FTP-kontot (om ni har FTP-server). Det har dykt upp många attacker på sista tiden där förövarna har FTP-lösnordet (hur de fått tag på det vet jag inte).

[Jonas]

Uppdatera ev. CMS/CMF-mjukvara till senaste version.

Se över ev. XSS/SQL-injections om ni själva byggt det. Gå efter "trust no one", ni skall inte ens lite på er själva, eftersom erat konto kan hackas.