O que esses parâmetros php significam e quem os colocou lá?

1

Um site com o qual eu trabalhei foi recentemente invadido e algum código php malicioso foi encontrado na página. Mesmo tentando baixar o código, o MSE o marcou como um trojan. Eu removi o php e mudei as senhas do ftp / shell. As ferramentas do Google para webmasters relataram códigos maliciosos em várias páginas, alguns com esses parâmetros:

?publisher=localcom_rbl&placement=octane360

Eu pesquisei isso e encontrei em vários sites, mas não sei o que isso significa. Certamente não é meu.

Isso aponta para um culpado em particular? E há outras medidas que devo tomar para proteger o site? Eles poderiam ter deixado algo para trás além de seu código php?

    
por Sam 20.08.2013 / 18:16

1 resposta

0

Eu não vi isso antes, então isso é especulação baseada em evidências circunstanciais - mas eu suspeito que a especulação é tão boa quanto a que vamos obter sem saber o nome do trojan e detalhes adicionais (por exemplo, endereços IP associados a essas chamadas de URL).

Parece que isso tem algo a ver com "local.com" e um "provedor de soluções" de publicidade que eles chamam de Octane 360. (Veja aqui ). Meu palpite é que essa agência de publicidade está oferecendo malware. Se está servindo e usando seu computador para ajudar (o que pode ser o caso se o script que você excluiu lida com esses parâmetros e os IPs que o atingem são da Internet mais ampla) ou se o Google ou outro bot estiver verificando o site por Malware e usar isso como uma pista para ajudá-lo a rastrear a causa (em cujo caso a linha de referência no log pode lhe dar uma pista) não pode ser determinada com as informações disponíveis.

É impossível dizer se eles deixaram algo para trás - você precisaria descobrir como eles conseguiram injetar o código em seu site e eliminar esse vetor. Dependendo do vetor, você precisaria ter uma ideia de quanto dano eles poderiam ter causado, e o que exatamente eles poderiam ter modificado, e então verificar isso.

Como uma RBL foi informada, você deve verificar seu endereço IP e nome de domínio em uma lista de verificação multi-RBL para ver se ela está na lista negra e tomar medidas para "não listá-la", se estiver. Isso também pode fornecer uma indicação útil de como o site foi comprometido se a RBL fornecer mais informações.

Realisticamente, a menos que você tenha o conhecimento para rastrear o que eles fizeram e como eles fizeram isso, você deve chamar um profissional para ajudar - ninguém pode realisticamente fornecer uma resposta para você sem muito mais conhecimento do seu ambiente particular e circunstância.

    
por 21.08.2013 / 04:08

Tags