1. Zuhause
  2. Frage und Antwort
  3. Blacklisted von Google - Deceptive Website voraus

Blacklisted von Google - Deceptive Website voraus

2016-11-19 1 views
1

Sagen wir, ich habe eine primäre Domain und ein paar Add-On-Domains auf einem Cpanel Sharing-Hosting, und jede Add-On-Domain hat eine eigene Sub-Domain wie Sub-Domain. primar-domain.com. Die Add-On-Domains sind alle echte Sites und öffentlich, und die primäre Domain ist nur für das Hosting-Konto, http://primary-domain.com ist eigentlich nur eine Seite mit einem Logo.Blacklisted von Google - Deceptive Website voraus

Schlechte Sache ist vor ein paar Tagen passiert, primary-domain.com wurde von Chrome und Firefox blockiert: Trügerische Website voraus!

Gute Dinge sind: Alle Add-On-Domains sind für jetzt in Ordnung.

Unter Google Webmastertools, Warnung kam wie unten aus:

Diese Seiten versuchen, Benutzer dazu zu bringen, etwas zu tun, gefährlich wie die Installation unerwünschter Software oder persönliche Informationen preiszugeben.

Beispiel-URL (für schädliche Inhalte Warnung):

one-of-sub-domain.primary_domain.com/login.php/magmi/web/download_file.php

Ich habe keine Ahnung, was ./login.php/magmi/web/download_file.php tut und wie es funktioniert, ich habe eine Datei /login.php, aber ich kann nicht magmi/web/download_file.php durch den gesamten Server finden, Wie auch immer, ich sah es in meinem Besucherprotokoll von einem IP aus Indien. Auch wenn es irgendwo versteckt ist, aber wie kann es hinter /login.php/ ausgeführt werden?

Lustig ist, dass die Add-on-Domain kommt mit der oben genannten Sub-Domain wurde nicht auf der schwarzen Liste, aber sie verwenden genau das gleiche Verzeichnis.

Ich fragte mein Hosting, die gesamte root zu scannen, das Ergebnis zeigte sauber und keine zielgerichtete URL gefunden und 0 Malware getroffen, Hosting überprüft meine primary_domain.com auf McAfee, Ergebnisse grün mit minimalem Risiko wie das Verhältnis Google und Yahoo haben. Ich habe das ganze Verzeichnis mit der Version wiederhergestellt, die schon lange gut war, und Google um eine Überprüfung gebeten. Das Ergebnis kam ziemlich bald zurück, immer noch dasselbe, nichts änderte sich.

Ich mache mir keine Sorgen über die primäre Domain, da es eigentlich keine Website ist, aber ich denke, es wird nicht zu lange dauern, bis die zugehörige Add-On-Domain blockiert wird.

Irgendeine Idee über diesen Hack? Ich habe ein Suchergebnis über magmi/web/download_file.php gesehen, aber ich habe keine Erfahrung darüber. Wäre es möglich, dass der Hacker einige Anweisungen auf dem Server geändert hat, die eine Umleitung ausgelöst haben? Alle Hilfe wird geschätzt. Vielen Dank.

Quelle

2016-11-19 Seahorse

+0

Können Sie uns den Domain-Namen geben? –

+0

Mögliches Duplikat von ["Trügerische Website voraus" bei Google Chrome und bösartigem Code können nicht isoliert werden] (https://stackoverflow.com/questions/38132012/deceptive-site-ahead-on-google-chrome-and-malicious- Code-kann-nicht-isoliert werden) –

Antwort

1

Ich bin durch Google gegangen und festgestellt, dass das Problem von einem Exploit mit dem Plugin-Uploader in einer eccomerce Webapp ist. Der Angreifer ist in der Lage, eine PHP-Datei mit dem Massen-Uploader-Skript der Site hochzuladen, das die Datei in zip konvertiert und dann auf dem Server installiert.

https://www.exploit-db.com/exploits/35052/

Ich würde zunächst für den Standort suchen beginnen, die die magento Website präsentiert und es für das Problem direcrory scannen. Dann ergreifen Sie die geeigneten Schritte, um es zu beseitigen. Das deaktiviert die Fähigkeit der Software, Plugins über die Webschnittstelle hochzuladen und sie dazu zu bringen, das gewünschte Plugin manuell über sftp hochzuladen.

Der nächste Schritt besteht darin, alle Passwörter für alle Konten zu ändern, nur für den Fall, dass der Angreifer diese Informationen abrufen konnte.

--------------------------- @ Link-Exploit

Exploit gefunden Datum: 2014.10.24 Sicherheit Name des Forschers: Parvinder. Bhasin Kontaktinfo: [email protected] twitter: @parvinderb - scorpio

Derzeit getestete Version: Magento Version: Magento CE - 1.8 ältere MAGMI Version: v0.7.17a ältere

herunterladen Software Link: Magento Server: http://www.magentocommerce.com/download MAGMI Plugin: https://sourceforge.net/projects/magmi/files/magmi-0.7/plugins/packages/

MAGMI (MAGENTO Massen Importeur) von Verwundbarkeit File Inclusion leidet (RFI), die allo ws ein Angreifer, um im Wesentlichen jede PHP-Datei (ohne alle Plausibilitätsprüfungen) hochzuladen. Diese PHP-Datei könnte dann verwendet werden, um die Kreditkarte Daten zu überfliegen, Dateien neu schreiben, Remote-Befehle ausführen, löschen Sie Dateien etc. Im Wesentlichen dies gibt Angreifer Fähigkeit, Remote-Befehle auf dem anfälligen Server auszuführen.

Schritte zum Reproduzieren:

  1. http: ///magmi/web/magmi.php

  2. Unter neuen Plugins laden: Klick auf "Datei auswählen" MAGENTO Plugins Reißverschluss im Grunde PHP-Datei ist . So erstellen Sie eine PHP-Shell und zip die Datei. ex: evil.php zip-Datei: evil_plugin.zip. Nachdem die Datei hochgeladen wurde, wird es sagen: Plugin paketinstalliert. evil.php:

  3. Ihre bösartige evil.php-Datei wird jetzt extrahiert. Alles, was Sie dann tun müssen ist nur Zugriff auf die evil.php Seite von: http: ///marmi/plugins/evil.php An diesem Punkt können Sie wirklich Zugriff auf das gesamte System haben. Downloaden Sie Malware, installieren Sie Rootkits, überkreuzen Sie Ihre Kreditkartendaten ..etc.etc.

Quelle

2016-11-23 05:37:28

+0

Tausend Dank an Jonathan für die Antwort. Sehr wertvolle Informationen zur Verfügung gestellt. Ich werde auf jeden Fall in diesen Fall schauen, um zu sehen, was passiert ist. – Seahorse

Verwandte Themen

 Verwandte Themen