Nechtěné přesměrování na linkbucks.com

Antivirové programy, firewally, viry, spyware, aktuální hrozby

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod Mawerick1980 4. 2. 2013 10:26

Zdravím, stránky www.balicistroje.cz se mi po cca 30 vteřinách přesměrují na linkbucks.com (těch 30 vteřin běží od poslední aktivity uživatele). Nevím co s tím!?
Předem díky
Mawerick1980
Junior

Odeslat příspěvekod Milanr1 4. 2. 2013 10:38

Zkus doplnit základní info:
viewtopic.php?f=1864&t=1095449
U mě se tato stránka nikam nepřesměruje v žádné verzi i-prohlížeče.
Jedná se o DNS spoofing?
Zkontroluj:
https://www.grc.com/dns/dns.htm
http://www.dcwg.org/
Jaký DNS je nastaven v IP konfiguraci?
Vyskytuje se nějaký záznam v hosts?
Ve všech i-prohlížečích nastane redirect?
Zadáváš adresu přímo do adresního řádku nebo jen klepneš na odkaz v jiné stránce (které)?
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod miso225 4. 2. 2013 11:10

.htaccess redirect virus
miso225
Junior

Odeslat příspěvekod Mawerick1980 4. 2. 2013 11:10

Čekáš těch 30 vteřin?
Zkoušel jsem to i z jiných počítačů...i z mobilu přes internet O2, vždy stejné!
Na tom http://www.grc.com/dns/dns.htm mi to všude napsalo "Anti-Spoofing Safety: Excellent", žádný problém jsem tam neshledal.
Nástroj "Avira DNS Rapair" napsal toto "The DNS settings of your system have not been manipulated by the DNSCharger."
Mawerick1980
Junior

Odeslat příspěvekod Milanr1 4. 2. 2013 11:18

Dobrý postřeh:
miso225 píše:.htaccess redirect virus

=> nahlas to správci daného webu.
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Mawerick1980 4. 2. 2013 11:18

Toto mám v .htaccess:
DirectoryIndex index.php
RewriteEngine On
RewriteBase /

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
## Deny access to extension xml files (uncomment out to activate)
#<Files ~ "\.xml$">
#Order allow,deny
#Deny from all
#Satisfy all
#</Files>
## End of deny access to extension xml files
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$ [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
deny from taurasfenix.com
deny from mail.taurasfenix.com

-- 4. 2. 2013 12:20 --

-- 4. 2. 2013 12:25 --

Milanr1 píše:=> nahlas to správci daného webu.

Je pravda, že co jsme přešli na současný webhosting, tak už jsme na webu měli malware a teď zase toto....
Mawerick1980
Junior

Odeslat příspěvekod miso225 4. 2. 2013 11:57

Aku verziu pouzivas (neviem ci som dobre videl joomla 1.5)
ODporucam pozriet http://forum.joomla.org/viewtopic.php?f=432&t=788233
miso225
Junior

Odeslat příspěvekod Mawerick1980 4. 2. 2013 12:24

Ano Joomla 1.5.

Na webu mám tyto soubory, tak je to asi hacknuté...
www.balicistroje.cz/sejeal.jpg
www.balicistroje.cz/m.txt
www.balicistroje.cz/m.gif
www.balicistroje.cz/susu.php

Co s tím?
Mawerick1980
Junior

Odeslat příspěvekod Milanr1 4. 2. 2013 12:56

Změnit webhosting na solidní? ;-)
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Mawerick1980 4. 2. 2013 13:30

Máme to teď na Endora.Cz, jaký hosting je třeba tedy bezpečnější?
Mawerick1980
Junior

Odeslat příspěvekod Milanr1 4. 2. 2013 13:43

IMHO ~ libovolný jiný. :-)
I když výjimky by se našly (Banán ...) :-D
Obecně každý, který nabízí výhradně šifrované protokoly (ftps, https, ...) pro přenos dat/administraci a zásadně nepovoluje nešifrované (ftp).
Viz např.:
http://www.lupa.cz/clanky/je-vas-web-hosting-bezpecny/
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Gigi 4. 2. 2013 13:59

Zkontroluj index.php (i u templatu) a .htaccess. Někdo se dostal k tvým stránkám a vložil to nich kód pro přesměrování. Najdi ten kód a odstraň ho. Pokud máš SSh přístup k serveru, tak si nech zobrazit změněné soubory za posledních pár dní.

Pak změn hesla, aktualizuj Joomlu (ta bývá zhruba v 90% případů zodpovědná za podobný průnik), používej zabezpečené protokoly sFTP, SSH, ...
Gigi
Junior

Odeslat příspěvekod kernel_panic [passed] 4. 2. 2013 14:05

vlastní oprava webu se provádí až jako zcela poslední krok...

viewtopic.php?p=9227291#p9227291
k bití internetovejch nihilistů jsem už příliš starej, ale za ty roky mně narostl krunýř, o kterej se vždy báječně rozplácnete; takže, mám zůstat čelem nebo?
kernel_panic [passed]
Přeborník Živě roku 2008
Uživatelský avatar

Odeslat příspěvekod salko 4. 2. 2013 14:19

Potvrdzujem, že aj mňa presmeruje.
salko
Mírně pokročilý

Odeslat příspěvekod Mawerick1980 4. 2. 2013 15:43

Už je to vyřešeno, obnovil jsem web z páteční zálohy.
Může tedy za to provozovatel hostingu, že to mají špatně zabezpečené?

To kernel_panic [passed]
...jak odkazuješ na na viewtopic.php?p=9227291#p9227291 tak to byl taky náš problém! :-)
Mawerick1980
Junior

Další stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků