Csak bejelentkezett felhasználóknál jelentkező fertőzés

vlezli képe

Kedves Mindannyian!

Szeretném a segítségeteket kérni egy számomra különös és érthetetlen honlapfertőzés ügyében!

Drupal 7-et használok, a honlap URL-je: http://happybubbles.info

Bejelentkezés nélkül, vendégként nézegetve a honlapot, látszólag minden rendben van.

Ha viszont bejelentkezem, akár adminként, akár egy felhasználó "bőrébe bújva", a honlap linkjei (menüpontok, adminlinkek, pl. Hozzáférés szabályozás) valamely idegen honlapra mutatnak, és persze oda is visznek, ha rájuk kattintok (mellékelt képek).

Az egész úgy kezdődött, hogy adminként ma frissíteni akartam a Mollom modult, mire egy hosszú hibaüzenet fogadott, amiben tipikusan spam feliratok vannak: Black Friday, Cyber Monday Sales, Best Gucci, stb. (kép)

Ezután vettem észre, hogy a menüpontok, stb. is ilyen oldalakra mutatnak.

Legutóbb tavaly november 22-én frissítettem a honlapot az akkor megjelent legfrissebb verzióra (7.34) és persze a modulokat, sminkeket is frissítettem egyúttal. Akkor még nem tapasztaltam a fentebb vázolt jelenséget.

Megnéztem a naplóbejegyzéseket is. Ami feltűnt, hogy az utóbbi időben elég sok olyan oldalt próbáltak meg behívni, ami nem létezik, és nem is értem, hogy akarhatott valaki ilyen URL-eket, honlaprészeket behívni. Ezekből is feltettem képként két kiragadott példát.

Vajon mi lehet ez...? És főleg, mit lehet ellene tenni?

Minden hozzászólást, ötletet köszönettel fogadok!

Üdvözlettel:
Veres László

Drupal verzió: 
Fórum: 
pp képe

Valószínűleg az anonymousoknak cache-ből jön a tartalom még, és ezért nem látszik.

Egy kínai mobil hotspotról újabb lyukak miatt tesztelik az oldald. Én szólnék a szolgáltatónak, hogy az egész ip tartományt lőjjék ki. (183.192.0.0 - 183.255.255.255)

Az oldalad meg valószínűleg tele van mindenféle lyukkal. Egy korábbi még működő mentésből állnék vissza.

pp

0
0
vlezli képe

Kedves István!

Köszönöm a gyors válaszodat és a tanácsodat!

Máris írtam a szolgáltatómnak, ismertetve a körülményeket kértem a fenti IP-tartomány letiltását.

Természetesen van mentésem a honlapról, nem is túl régi, így szerencsére van miből visszaállítani. De megvárom előbb a szolgáltató intézkedését, csak aztán látom értelmét a helyreállításnak.

Remélem sikerrel fogok járni, majd beszámolok a fejleményekről!

Még egyszer köszönöm a segítségedet!

Üdvözlettel:
Veres László

0
0

Veres László

vlezli képe

Sikerült rendbe tenni a honlapot pp javaslatait követve.

A szolgáltatóm nem volt hajlandó a kis kínaiakat kitiltani, idézem:

"Alapvetően cégünk szolgáltatása, hogy az interneten bárhonnan
elérhetővé tesszük ügyfeleink weboldalát, így egy komplett kínai
szolgáltató kitiltása nem lehetséges szervereinken."

Ennek ellenére sikerült egy olyan ingyenes szolgáltatást találnom (cloudflare.com), amit igénybe véve Kínából már nem lehet meglátogatni a honlapot. A lényege, hogy a honlap oldalait csak az általuk működtetett szűrő rendszeren (szerveren) keresztül lehet behívni a böngészőbe. Állítólag ez a megoldás alapból kiszűri a legismertebb fenyegetéseket, de arra is képes, hogy teljes IP-tartományokat, illetve országokat kizárjon az elérésből. Én így tiltottam le a kínai látogatókat.

Persze a visszaállítást is megcsináltam egy korábbi mentésemből és most már a http://sitecheck.sucuri.net/ tesztje szerint is fertőzésmentes a honlap, míg korábban mutatta a kártékony kódok jelenlétét.

Az más kérdés, hogy mennyire szerencsés egy külső szolgáltatót, jelen esetben a cloudflare-t is bevonni a honlap elérhetőségébe. Amitől leginkább tartottam, hogy lassítani fogja az oldalak betöltődését, úgy tűnik nem következett be.

Egyelőre tehát kész vagyok a helyreállítással és remélem egyhamar nem találkozom hasonló esettel!

Köszönöm a hozzászólásokat, ötleteket!

Veres László

0
0

Veres László