it-swarm.dev

Codice sconosciuto nel mio sito - sono stato violato?

Sto usando Joomla 3.3. Ho controllato il codice sorgente della mia homepage e ho trovato un codice sconosciuto:

<div style="position: absolute; top: 0px; left: -6500px;">Bookmakers bonuses with <a target="_blank" rel="dofollow" href="http://gbetting.co.uk/">www</a> gbetting.co.uk site.</div></div>

Non capisco da dove provenga, non ho mai inserito nulla nel mio sito. Qualcuno può aiutare dove posso trovare?

5
Naeem

Sembra un codice nascosto dal tuo modello di una delle tue estensioni. Questo tipo di codice nascosto si trova spesso in uno dei tuoi file .php, ma probabilmente non troverai il codice che hai incollato sopra. Prova a cercare base64_decode in / templates/YOURTEMPLATE/index.php, seguito da una serie di caratteri apparentemente casuali. Questo è un modo comune per nascondere il codice nei tuoi file .php.

7
johanpw

Come un semplice modo di codifica non sviluppatore per controllare e fare in modo che il tuo sito non venga violato, prova il buon joomla https://watchful.li/ sito che scansiona joomla o https://mysites.guru / (precedentemente myjoomla.com) può essere d'aiuto.

4
tristanbailey

Un buon modo che ho anche scoperto è che se hai regolari backup Akeeba o dump ftp del tuo sito è quello di estrarli in una directory locale, uno da dire una settimana o due prima e uno dopo il tuo hack. Quindi utilizzare uno strumento DIFF cartella, su Windows ho WinMerge e su Linux vimdiff o diff e quindi eseguirlo tra le due cartelle. Vedrai spesso i file che cambierai successivamente e verranno visualizzati.

N.B. potresti aver bisogno di ottenere la copia live dal server e non un Akeeba per notare i file nella tua cartella/tmp ma è facile consultare l'elenco delle cartelle che ignori sul tuo Akeeba.

L'ho fatto su un sito 1.5 che sono stato assunto per fare e rende molto più facile che controllare i file, e l'ho trovato nella cartella della sessione e nei file tmp e rss.

3
tristanbailey

Nel tuo caso è un sito compromesso o hai qualche componente o modulo che mostra link seo (è meglio eliminarlo se scopri quale lo fa).

Prova a cercare il contenuto dei file (il comandante totale può farlo tramite ftp) per "Bonus bookmaker", "gbetting.co.uk" o "-6500px". Se trovi il file problematico Puoi trovare la data di modifica del file. Se è così, è meglio prendere file puliti dal backup se è possibile.

Se il codice viene inserito nella directory del modulo o del componente, è molto probabile che non si tratti di un tentativo di hacking ma di un componente o modulo dello sviluppatore dello spam.

Puoi anche scansionare il tuo sito con: http://virustotal.com - molti scanner di virus. È il posto migliore per iniziare.

http://quttera.com - mostra quali file sono corrotti

sitecheck.sucuri.net - simile al precedente

www.urlvoid.com - simile al precedente

Se uno di questi siti mostra un'infezione, è necessario pulire il sito.

0
Barto