A primeira coisa a fazer é verificar imediatamente o que é collegefun4u .
Solicitando o site de forma segura e descompactando o código JS por trás dele, obtemos :
www.collegefun4u.com/ benign
[nothing detected] www.collegefun4u.com/
status: (referer=http:/twitter.com/trends/) saved 1205 bytes 3667a08e039642842c11744f464163baa186e4da
info: [decodingLevel=0] found JavaScript
error: undefined variable s
info: [1] no JavaScript
file: 3667a08e039642842c11744f464163baa186e4da: 1205 bytes
file: f9e4048e7e87436e12343dbcd9d467a31f0c972e: 93 bytes
Decoded Files
3667/a08e039642842c11744f464163baa186e4da from www.collegefun4u.com/ (1205 bytes, 17 hidden)
<html>
<head>
<title>Top 3 Webhosting</title>
<meta content="text/html; charset=iso-8859-1" http-equiv='Content-Type'>
<body>
<script> </script>
<table border='0' cellspacing='0' cellpadding='0' width='960' height="100%">
<tbody>
<tr>
<td>
<a target="_self" href="http://rover.ebay.com/rover/1/711-53200-19255-0/1?icep_ff3=1&pub=5574678674&toolid=10001&campid=5335950793&customid=&ipn=psmain&icep_vectorid=229466&kwid=902099&mtid=824&kw=lg">Shopping In Ebay For The Cheapest</a>
</td>
<td>
<a href="http://stats.justhost.com/track?c998ec72c307330822d1608c2d6651a1f">JustHost</a>
</td>
<td>
<a href="http://secure.hostgator.com/~affiliat/cgi-bin/affiliates/clickthru.cgi?id=hydmedia-">Hostgator</a>
</td>
</tr>
</tbody>
</table>
</body>
<script type="text/javascript"> var _gaq = _gaq || []; _gaq.push(['_setAccount', 'UA-33569939-1']); _gaq.push(['_trackPageview']); (function() {var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s); })(); </script>
</html>
f9e4/048e7e87436e12343dbcd9d467a31f0c972e from www.collegefun4u.com/ (93 bytes)
//jsunpack.called CreateElement script //jsunpack.url http://www.google-analytics.com/ga.js
Note que embelezei o HTML para facilitar a leitura.
Como você pode ver, pelo menos não tenta prejudicar seus usuários de forma alguma, mas apenas insere alguns spams de Webhosting (aprendidos com o título), três links em uma tabela que se estende por toda a tela. Também deve ser observado que eles analisam seu tráfego por meio do Google Analytics.
Olhando mais para a internet, encontrei uma causa semelhante que parece ter o mesmo problema que você. Uma solicitação para sua página é carregada posteriormente no site collegefun4u . O URL Query é bastante inteligente e nos diz que detectou o HTTP GET do kit de exploração do BlackHole .
Exatamente, o kit de exploração BlackHole está ganhando fama hoje em dia para ajustar arquivos em servidores. Eles simplesmente usam explorações de dia zero em vários tipos de software de servidor para poder ajustar arquivos para conseguir spam ou infectar muitos clientes.
A linha inferior da história aqui é três vezes:
-
Acompanhe as versões de seu servidor e seu software e certifique-se de que tudo seja atualizado, isso vai de Apache / IIS para Plesk à sua estrutura para PHPMyAdmin e além.
-
Certifique-se de que você configurou qualquer coisa que esteja de frente para a Internet para não conseguir gravar no seu disco, isso significa principalmente configurar o direito de Permissões do Plesk / PHP / Arquivo.
-
Se isso continuar acontecendo, verifique se você registrou os acessos a arquivos para saber qual processo está fazendo isso. No Windows, você tem Monitor de processo para isso, configure-o para filtrar em
.htmle / ou.jsarquivos para que você não preencha seu arquivo de página com todos os acessos. Isso pode te ensinar mais ...