1

Сайт, с которым я работаю, был недавно взломан, и на странице был обнаружен вредоносный php-код. Даже пытаясь загрузить код, MSE пометил его как троян. Я удалил php и изменил пароли ftp/shell. Инструменты Google для веб-мастеров сообщили о вредоносном коде на нескольких страницах, некоторые из которых имели следующие параметры:

?publisher=localcom_rbl&placement=octane360

Я гуглил это и нашел это на тоннах сайтов, но я не знаю, что это значит. Это конечно не мое.

Это указывает на конкретного преступника? И есть ли дальнейшие шаги, которые я должен предпринять, чтобы защитить сайт? Могли ли они что-то оставить кроме своего php-кода?

1 ответ1

0

Я не видел этого раньше, так что это предположение, основанное на косвенных доказательствах, но я подозреваю, что предположение примерно так же хорошо, как мы собираемся получить, не зная имя троянца и дополнительных подробностей (например, IP-адреса, связанные с этими вызовами URL ).

Казалось бы, это как-то связано с «local.com» и рекламным "поставщиком решений", которым они владеют, под названием Octane 360. (См. Здесь). Я предполагаю, что это рекламное агентство подает вредоносные программы. Служит ли он для этого и использует ли ваш компьютер для помощи (что может быть в том случае, если удаленный скрипт обрабатывает эти параметры и IP-адрес, попадающий на него, поступает из более широкого Интернета) или если Google или другой бот проверяет сайт на наличие вредоносных программ и использование этого в качестве подсказки, чтобы помочь вам отследить причину (в этом случае строка реферера в журнале может дать вам подсказку) не может быть определено с помощью имеющейся информации.

Невозможно сказать, оставили ли они что-то позади - вам действительно нужно было бы выяснить, как им удалось внедрить код в ваш сайт и устранить этот вектор. В зависимости от вектора вам нужно будет посмотреть, какой урон они могли нанести и что именно они могли бы изменить, а затем проверить это.

Поскольку RBL был намечен, вы должны проверить свой IP-адрес и доменное имя по контрольному списку multi-RBL, чтобы увидеть, есть ли его черный список, и предпринять шаги, чтобы "удалить" его, если он есть. Это также может дать полезную подсказку о том, как сайт был взломан, если RBL предоставляет дополнительную информацию.

На самом деле, если у вас нет знаний, чтобы отследить, что они делали и как они это делали, вам следует обратиться к профессионалу за помощью - никто не сможет реально дать вам ответ, не имея гораздо больше знаний о вашей конкретной среде и обстоятельствах.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .