it-swarm.dev

Código desconocido en mi sitio: ¿estoy pirateado?

Estoy usando Joomla 3.3. Revisé el código fuente de mi página de inicio y encontré un código desconocido:

<div style="position: absolute; top: 0px; left: -6500px;">Bookmakers bonuses with <a target="_blank" rel="dofollow" href="http://gbetting.co.uk/">www</a> gbetting.co.uk site.</div></div>

No entiendo de dónde viene, nunca coloqué nada en mi sitio. ¿Puede alguien ayudarme donde puedo encontrar?

5
Naeem

Esto parece un código oculto de su plantilla o una de sus extensiones. Este tipo de código oculto a menudo se encuentra en uno de sus archivos .php, pero probablemente no encontrará el código que pegó anteriormente. Intente buscar base64_decode en / templates/YOURTEMPLATE/index.php, seguido de una serie de caracteres aparentemente aleatorios. Esa es una forma común de ocultar código en sus archivos .php.

7
johanpw

Como una forma fácil de codificación para desarrolladores y para verificar y hacer que su sitio sea pirateado, pruebe el buen sitio joomla https://watchful.li/ que escanea joomla o https://mysites.guru / (anteriormente myjoomla.com) también puede ayudar.

4
tristanbailey

Una buena manera que también he encontrado es que si tiene Akeeba Backups regulares o volcados de ftp de su sitio es extraerlos en un directorio local, uno por ejemplo una semana o dos antes y uno después de su pirateo. Luego use una herramienta DIFF de carpeta, en Windows tengo WinMerge y en linux vimdiff o diff y luego ejecútelo entre las dos carpetas. A menudo verá los archivos que el próximo cambio muestra y modifica.

Nótese bien Es posible que necesite obtener la copia en vivo del servidor, no de un Akeeba, para notar los archivos en su carpeta/tmp, pero es fácil mirar a través de la lista de carpetas que ignora en su Akeeba.

Hice esto en un sitio 1.5 para el que me contrataron y es mucho más fácil que verificar archivos, y lo encontré en la carpeta de sesión y en los archivos tmp y rss.

3
tristanbailey

En su caso, es un sitio pirateado o tiene algún componente o módulo que muestra enlaces seo (es mejor eliminarlo si descubre cuál lo hace).

Intente buscar en el contenido de los archivos (el comandante total puede hacer esto a través de ftp) para "bonos de las casas de apuestas", "gbetting.co.uk" o "-6500px". Si encuentra el archivo problemático Puede encontrar la fecha de cambio del archivo. Si es así, es mejor tomar archivos limpios de la copia de seguridad si es posible.

Si el código se coloca en el módulo o en el directorio de componentes, es muy probable que no sea un intento de pirateo, sino un componente o módulo del desarrollador de correo no deseado.

También puede escanear su sitio con: http://virustotal.com - muchos escáneres de virus. Es el mejor lugar para comenzar.

http://quttera.com - muestra qué archivos están corruptos

sitecheck.sucuri.net - similar al anterior

www.urlvoid.com - similar al anterior

Si alguno de estos sitios muestra infección, debe limpiar su sitio.

0
Barto