- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта
Применяем отклонение ссылок
Сервис Rookee
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Здравствуйте, пару дней назад появились на сайте вот такие ссылки
Похоже взломали и встроили скрипт. Не могу найти, где этот код спрятан. Кто сталкивался, подскажите, пожалуйста, как от него избавиться.
cms какая?
Вордпресс, в файлах шаблона подозрительных участков кода не нашел.
В выводе виджетов глянь
было похожее, скрипт нашел в папке wp-includes\js\tinymce\themes\advanced\skins\o2k7\img. О лечении : http://personalnet.ru/pg/forum/topic/1020/uyazvimosti-v-wordpress/
в папке wp-includes\js\tinymce\themes\advanced\skins\o2k7\img скриптов не нашел, только три картинки.
Нашел три сайта на которых такая же ситуация. Два приняты в ггл, один - в гетгудлинкс. Чужие ссылки не видны пользователям и RDS плагин их тоже не отображает как внешние. Оптимизаторы принимают выполненные задания. Один - отказал и привел фрагмент кода с моей страницы.
В данный момент я на всех трех сайтах этих ссылок в исходном коде не вижу, хотя никаких действий не предпринимал. Показал сайты другому человеку, он нашел ссылки, но сейчас он их тоже не видит. Такое впечатление, что скрипт показывает эти фармассылки одному айпишнику один раз (например, раз в сутки).
И еще. Два сайта из трех находятся в сапе. Продают по одной ссылке со страницы. Ошибок сапа не выдавала никогда.
а посмотрите в корне файл license.txt, у него нормальный текст?
а посмотрите в корне файл license.txt, у него нормальный текст?
Да, читаемый текст стандартной лицензии.
Все ссылки видны вот этим сервисом http://xseo.in/page
15 сквозных ссылок. Примерно на полусотне сайтах на трех хостингах. Сейчас прогонюсь антивирусом, затем сделаю бекапы, обновлю движок и посмотрю что это даст.
Globusnik, ну что, помогло? А то тоже на одном обнаружил такое.
Globusnik, как правильно подсказал vommbat - нужно найти зловредный скрипт.
На примере уязвимости в timthumb (а у вас какая-то из тем использует плагин timthumb.php) нужно найти в какой папке лежит малварь:
В журнале ошибок Apache нахожу: "[Mon Aug 01 11:09:12 2011] [error] [client 127.0.0.1] PHP Warning: file_get_contents(http://blogger.com.zoha.vn/db/load.php): failed to open stream: HTTP request failed! in /usr/local/markmaunder/wp-content/themes/Memoir/timthumb.php on line 675"
Проверяю каталог кэша timthumb и нахожу Alucar.
Обнаруживаю, что шелл закодирован с base64, поэтому я не нашел ничего с Grep.
Заново проверяю исходники WordPress и базу данных и обнаружил инъекцию в wp-blog-header.php
Декодировал base64 содержимое Alucar
Нашел TMP файл в / TMP
Очистил всё и пофиксил разрешения. Запустил chkrootkit и другие утилиты на машине, чтобы посмотреть, что еще было скомпрометировано. Изменил пароли и т.д.
Здесь речь идет о шелле Alucar, загруженным через баг в плагине timthumb, который внедрил в wp-blog-header.php вредоносный скрипт.
Не факт, что у вас именно Alucar, но схема проверки на вшивость такая же:
Смотрите журнал ошибок Apache и ищите попытку file_get_contents
Пройдите по указонному пути, вплоть до строки кода в вызываемом файле и что она (строка) делает.
В приведенном примере, автор обнаружил, что строка 675 в файле /usr/local/markmaunder/wp-content/themes/Memoir/timthumb.php отвечает за каталог кэша плагина, в котором и был найден шелл.
Но от шелла остались результаты его деятельности - те самые скрипты в фрейме, а их найти можно только перелапатив исходники Вордпресса на предмет изменения файлов.
Хорошая команда в Unix:
find / -mtime -60
найти все файлы, которые были изменены за последний час
И еще раз пройдитесь по рекомендуемой уже вам ссылке: Уязвимости в WordPress, в которой к тому же ведется обновляемый багтрак с актуальными багами и ошибками в WordPress, его темах и плагинах.
:)