Vélemények és javaslatok

[Donát]

És ha most próbáljátok?

 

Barátnőm tárhely szolgáltató cégnél dolgozik. Ő azt mondja, hogy valószínűleg megfertőzödött a szolgáltató szervere, és ez okozta a problémát. Ha minden igaz, akkor a szolgáltató elvileg a https://intrex.hu/.

 

Most úgy tűnik, észrevették a problémát, és lekezelték a fertőzést. Érdemes ettől függetlenül is jelenteni a problémát, hogy tudjanak róla, hogy észrevettük mi is, esetleg adhatnak bővebb felvilágosítást. A fertőzés származhat a hosztoló szolgáltató szerveréről vagy a hosztolást végző gépről (gondolom Odyéról), de ha mostanában ftp-vel vagy ilyesmivel nem csatlakoztál fel az oldalra Ody, akkor ez nem túl valószínű. Minden bizonnyal az intrex.hu szervere volt megfertőződve. Érdemes utánakérdezni, hogy van-e vírus védelem a tárhelyekre, vagy hogy hogyan védik a tárhelyek szervereit a megfertőződéstől.

[Rog]

Nekem valami url4short.info jön be

Én is úgy jártam kicsivel korábban. Először arra léptetett, utána meg már be tudtam ide lépni.

Szerkesztve: 2017. Június 29. - Rog

[Donát]

Barátnőm tárhely szolgáltató cégnél dolgozik. Ő azt mondja, hogy valószínűleg megfertőzödött a szolgáltató szervere, és ez okozta a problémát. Ha minden igaz, akkor a szolgáltató elvileg a https://intrex.hu/.

 

Most úgy tűnik, észrevették a problémát, és lekezelték a fertőzést. Érdemes ettől függetlenül is jelenteni a problémát, hogy tudjanak róla, hogy észrevettük mi is, esetleg adhatnak bővebb felvilágosítást. A fertőzés származhat a hosztoló szolgáltató szerveréről vagy a hosztolást végző gépről (gondolom Odyéról), de ha mostanában ftp-vel vagy ilyesmivel nem csatlakoztál fel az oldalra Ody, akkor ez nem túl valószínű. Minden bizonnyal az intrex.hu szervere volt megfertőződve. Érdemes utánakérdezni, hogy van-e vírus védelem a tárhelyekre, vagy hogy hogyan védik a tárhelyek szervereit a megfertőződéstől.

Akkor tévedtem. Nem vették észre a problémát, csak ha másodjára, harmadjára, stb. nézzük, akkor már nem aktiválódik a forwardolás. Ody! Szerintem szólni kéne a tárhely szolgáltatónak, hogy nézzen rá és meg kéne kérdezni, le tudják-e vírusírtózni a tárhelyet!

[Yoda József]

Nekem valami url4short.info jön be

 

Dettó! Ugyanakkor nekem csak akkor jön elő ez a probléma, ha gépről vagyok, telefonról bejön rendesen az oldal

[Donát]

A barátnőm szerint scrip-injection-nek tűnik a probléma és fel kéne venni a kapcsolatot a szolgáltatóval. Az általános protokoll az, hogy backupból állítják vissza az oldalt, ami az esetünkben szerintem elég fájó lenne, mert akkor elvesznének gondolom az azóta született hozzászólások. De én nem értek hozzá, csak ő, szóval lehet nem vesznének el.

[Ody Mandrell]

Pontosan mit is kellene írni nekik?

[Donát]

Pontosan mit is kellene írni nekik?

1. Ellátják-e vírus védelemmel a tárhelyet?

2. Látnak-e bármilyen vírusos fertőzést a tárhelyen, ha igen, ki tudják-e írtani?

3. Backup visszaállítással meg tudják-e oldani, ha igen, veszne-e el emiatt hozzászólás az adatbázisból?

 

Érdemes lenne leírni a tünetet is, azaz google-ből első kattintásra más oldalra forwardolja a felhasználót az oldal.

 

Ezeket. Elvileg ez egy ún. black-hat SEO támadás, ami során a vírust használó oldalak feketén reklámozzák a saját kattintásvadász oldalakait. Azaz, ha google-ben valaki az swsaga.hu-ra kattint, akkor forwardolják őket a saját oldalukra, ami pénzt hajt nekik. Ez csak egy új csatlakozó esetén gáz, mert azt hiszi, hogy az swsaga.hu oldal = az az oldal, ahová továbbítják őket, aztán közben persze nem. Elvileg a google támadó oldalnak is minősítheti az swsaga.hu-t ami miatt kiveheti a keresési találatok közül az oldalt. Elvileg az adatbázist - hsz-eket, stb-t - nem fenyegeti ez a fajta fertőződés.

[MissKarrde]

Engem akkor dob máshova a google az első találat esetében, ha csak az "swsaga" szót írom be, szóval valószínűleg azért működik másképpen más gépekről, mert nem ugyanazt a szót írjuk be

[Ody Mandrell]

Ok, köszi. Utánajárok. Az én gépemről biztos nem ment fel vírus, elég tiszta rendszerem van, mindig ellenőrzöm. Szinte nincs is a gépemen semmi.

[Ody Mandrell]

Alapból minden tárhelyhez adják a következőket:

 

-DNS SZOLGÁLTATÁS

-KORLÁTLAN ELHELYEZHETŐ DOMAIN

-KORLÁTLAN ELHELYEZHETŐ ALDOMAIN

-1000 MBIT/S SÁVSZÉLESSÉG

-KORLÁTLAN E-MAIL POSTAFIÓKOK SZÁMA

-KORLÁTLAN E-MAIL ALIAS

-KORLÁTLAN FTP HOZZÁFÉRÉS

-SPAM ÉS VÍRUS SZŰRÉS

-POP3 ÉS IMAP ELÉRÉS

-WEBMAIL

-EGYÉNI .HTACCESS

-JELSZÓVAL VÉDETT KÖNYVTÁRAK

-PÉNZVISSZAFIZETÉSI GARANCIA

[Donát]

Alapból minden tárhelyhez adják a következőket:

 

-DNS SZOLGÁLTATÁS

-KORLÁTLAN ELHELYEZHETŐ DOMAIN

-KORLÁTLAN ELHELYEZHETŐ ALDOMAIN

-1000 MBIT/S SÁVSZÉLESSÉG

-KORLÁTLAN E-MAIL POSTAFIÓKOK SZÁMA

-KORLÁTLAN E-MAIL ALIAS

-KORLÁTLAN FTP HOZZÁFÉRÉS

-SPAM ÉS VÍRUS SZŰRÉS

-POP3 ÉS IMAP ELÉRÉS

-WEBMAIL

-EGYÉNI .HTACCESS

-JELSZÓVAL VÉDETT KÖNYVTÁRAK

-PÉNZVISSZAFIZETÉSI GARANCIA

 

Ami biztosnak tűnik: van egy fertőzött fájl a fórum tárhelyén, az felelős ezért a script injection tevékenységért. A tárhelyszolgtatónak érdemes lenne átküldeni egy példát a forwardingra és csináljon egy scant mi hamarabb.

[Ody Mandrell]

Írtam nekik.

[Bomarr]

Jelenleg több mint 400 aktiv felhasználó olvassa a fórumot, de napközben volt hogy ez a mutató 600 felett volt. Gondolom ezek botok. Emiatt kell aggódnunk vagy ez normális?

[Donát]

Jelenleg több mint 400 aktiv felhasználó olvassa a fórumot, de napközben volt hogy ez a mutató 600 felett volt. Gondolom ezek botok. Emiatt kell aggódnunk vagy ez normális?

Esetleg lassíthatják az oldalt a lekérések számával.

[Ody Mandrell]

Semmiképp se normális már abból a szempontból, hogy ezeknek nagy hányada biztos nem valós ember. Egyébként még mindig nem válaszolt az intrex a kérdésemre.

[Pildi]

Ody, ha bármi lenne, megoldható volna, hogy lecseréld ez a tárhelyszolgáltatót?

[Ody Mandrell]

Persze, csak irtó nagy macera. Az Intrex amúgy is nagy cég elvileg.

Szerkesztve: 2017. Július 2. - Ody Mandrell

[Ody Mandrell]

Megjött a válasz a szolgáltatótól:

 

"Szerver oldali hibát rendszergazdáink nem tapasztalnak.

 

Esetlegesen jelezze a google felé a problémát."

 

[Donát]

Megjött a válasz a szolgáltatótól:

 

"Szerver oldali hibát rendszergazdáink nem tapasztalnak.

 

Esetlegesen jelezze a google felé a problémát."

 

Akkor ott vannak már gondok...

[Rog]

Újabb példa amiből kiderül hogy a Gugli nem mindig a barátunk.

[Ody Mandrell]

Akkor ott vannak már gondok...

Ezt hogy érted?

 

Újabb példa amiből kiderül hogy a Gugli nem mindig a barátunk.

Ki gondolta volna?

Szerkesztve: 2017. Július 4. - Ody Mandrell

[Donát]

Ezt hogy érted?

Amit írtak, annak semmi értelme. Az oldal fertőzött. Ha ők ezt nem érzékelik, az elég komoly gond. Ez tipikus script injection. A google nem tehet semmiről. Barátnőmék konkrét szerver védelmi csomagot építettek, ami ilyenektől is véd (itt lehet róla olvasni). Ha az Intrex ennyit tudott visszaböfögni a jelzett hibára, ott már nagy a baj, erre utaltam alább.

 

Egy ilyen támadta meg az oldalt: http://avirus.hu/chrome-redirect-virus/

[Ody Mandrell]

Yahoo keresőbe semmi gond nincs... A többi keresőt nem teszteltem.

 

Amúgy ok, hogy szerinted így van, de a szolgáltató szerint meg nincs baj. Ők látják, tesztelik, én ezzel nem tudok vitába szállni.

Szerkesztve: 2017. Július 5. - Ody Mandrell

[Dzséjt]

Szóval a kis magyar szolgáltató szerint nem velük, hanem a Google-lel van a baj - a nagy cég szervereire feljuttattak egy kifejezetten a mi fórumunkat célzó vírust és spamcsomagot. Aha... Imádom a déli bullshit szagát.

Egyértelműen a szolgáltatónál van a baj, hiszen a fórum akkora spamtámogatást kapott, hogy rossz nézni, ami szintén a szerver fertőzöttségére utal. 1365 jelenleg a leglátogatottabb nap, és nem volt semmi három napja, ami ezt indokolná. Az Intrexnél egyszerűen sz*rnak az egészre, ez csak egy sablonválasz, a kisujjukat sem mozdították. Ugyanezt csinálja az Ezit is, amíg az ember rájuk nem telefonál (és amikor végre hajlandóak felvenni). Mert a telefonos beszélgetést már rögzítik, azt már nem lehet elmismásolni.

[Donát]

Yahoo keresőbe semmi gond nincs... A többi keresőt nem teszteltem.

 

Amúgy ok, hogy szerinted így van, de a szolgáltató szerint meg nincs baj. Ők látják, tesztelik, én ezzel nem tudok vitába szállni.

Nem szerintem van így, az nem sokat számítana a témában, én nem vagyok szakember. Barátnőmék viszont igen. Szóval most csak szimplán leráztak, ennyi történt. Nyilván nem írnám be ide biztosra, ha nem bíznék meg a szakértelmükben. Ha bízol bennem, akkor fogadd el a véleményüket, mert ebből élnek.

 

Az meg, hogy a yahoon nincs ilyen, semmit sem jelent, ha a vírusfertőzést a google találat átirányításra fejlesztették (ami több mint valószínű, lévén az a legnagyobb keresőoldal), akkor a többire nem lesz hatása.

[Ody Mandrell]

Akkor ez egy olyan vírus ami csak a google keresőbe aktivizálódik?

[Donát]

Akkor ez egy olyan vírus ami csak a google keresőbe aktivizálódik?

Bocsi, közben szerkesztettem:

 

Az meg, hogy a yahoon nincs ilyen, semmit sem jelent, ha a vírusfertőzést a google találat átirányításra fejlesztették (ami több mint valószínű, lévén az a legnagyobb keresőoldal), akkor a többire nem lesz hatása.

[Ody Mandrell]

Akkor ez így marad sajnos.

[Dzséjt]

Akkor ez egy olyan vírus ami csak a google keresőbe aktivizálódik?

Konyhanyelven: a szerveren, még valószínűbb, hogy a fórum könyvtárában ül egy program, ami lesi, mikor jön a Google irányából lekérdezés, és ezt a lekérést átirányítja a programban szereplő oldalak valamelyikére. De csak a Google-t irányából jövő adatforgalmat figyeli, és úgy van megírva, hogy lekérésenként csak egyszer fusson le (ami még szerencsés eset, mert így egy visszalépés után ide lehet jutni).

Kicsit olyan, mintha elterelnének az autópálya egy sávjáról, de ha visszatolatsz, tovább tudsz menni az eredeti irányon, mert az elterelést végző delikvens már ellépett az útból.

[Donát]

Akkor ez így marad sajnos.

A google az új belépők miatt érdekes, a spamelők jelenléte viszont jelentősen lassíthatja a fórumot sajnos. Esetleg egy telefon hívást nem érne meg a dolog az intrexnek? Hátha Dzséjtnek igaza van, és minőségbiztosítási okokból ott alaposabbak.