Kirjautuminen

Haku

Tehtävät

Keskustelu: Nettisivujen teko: index.html sisältää outoa "koodia"

decoy [30.11.2017 22:09:05]

#

Terve.

eli tuttavani puuhaillut jotain omiaan ilmaisilla wysivygei ja ftp ohjelmil, luojatietää mistä ja niillä puolivirallista hommaansa toteuttaa.

sain aikani ihmeteltyäni seuraavanlaista tekstiä näkymään indexissä noin parin sivun verran.

......<script type="text/javascript"> </script>
<style type="text/css">root a[href^="http://admingame.info/"], :root #ssmiwdiv[jsdisplay], :root a[href^="http://www.dealcent.com/register.php?affid="], :root #topstuff > #tads, :root .GFYY3SVD8 > .GFYY3SVC8 > .GFYY1SVF8, :root a[href^="http://www.linkbucks.com/referral/"]....

....root a[href^="http://n217adserv.com/"], :root .rc-cta[data-target], :root .rhsvw[style="background-color:#fff;margin:0 0 14px;padding-bottom:1px;padding-top:1px;"].............

......[href^="http://www.sex.com/videos/?utm_"], :root a[href^="http://a.adquantix.com/"], :root a[href^="http://abc2.mobile-10.com/"], :root a[href^="http://ad-emea.doubleclick.net/"], :root a

noi root tunnukset? GFYY3SVD8 jne hieman muutin, oliko tarpeen en tiedä.

mitä tuollainen tekee? siis muuta kuin vain kerää käyttäjistä dataa... sivutot on sen luontoiset ettei niihin kuuluisi liitettävyyttä noihin sex ja adult aiheisiin jota siellä vilkkuu.

jos vain joku hieman selkiyttäisi minulle tuota niin kiva, myös linkkivinkit tervetulleita.

P.s. ohjelmointiputka huippu paikka sen ja ohjelmointi tehtävien olemassa olon tiedostaminen peruskouluun pitäisi saada pakolliseksi. ja php haaste globaaliksi korvaavaksi aineeksi. :)

Metabolix [30.11.2017 23:01:15]

#

Tuo on CSS-koodia (style-elementin sisällä), joten tuo ei tee varsinaisesti mitään. CSS-valitsin :root tarkoittaa juurielementtiä eli käytännössä samaa kuin html. Osoitteista päätellen tyylien tarkoitus on varmaan nostaa jotain mainoslinkkejä sivulla selvemmin näkyviksi. Jätit nyt koodista pois tyylit, eli tuossa on vain valitsimia, eli tuon perusteella ei voi yhtään sanoa, mitä vaikutuksia kyseisellä CSS:llä on.

Olennaisempaa olisi etsiä sivulta JS-koodia tai ylimääräisiä linkkejä tms. Varmaan viisainta on poistaa ainakin kaikki script-tagit ja iframe-tagit, joita ei ole itse laittanut.

decoy [01.12.2017 00:10:57]

#

eli tässä tyylejä, jos käsitin oikein näistä olisi apu arviointiin siitä mitä tekee.

<style type="text/css" media="all">@import "/newsite/misc/drupal.css";</style>
 <style type="text/css" media="all">@import "/newsite/modules/event/event.css";</style>

  <style type="text/css" media="all">@import "/newsite/themes/caci/style.css";</style>

[style="display:block!important"]
[style="padding:10px 0 0 0 !important;"]....

muut style merkinnät melko vastaavaa, unohtus tämä. käsitin että se on aivan perus tavaraa mikä googlelle huutelee ja parantaa mm hakuja.

<script src="./sivusto itse jota en nyt mainitse/urchin.js.lataa" type="text/javascript">
</script>
<script type="text/javascript">
_uacct = "UA-1534987-1";
urchinTracker();
</script>

jollein mistää vakavammasta ole kyse niin hyvä, ja enintauhna on saattanut jo poistua.

minua jäi kiinnostamaan mistä kyse, kun sen ilmestymisestä oltiin ihmeissään. (oletus että bigdata/mainos bisnestä ilmaisohjelmista millä he sivua ylläpitää)

niin ja kiitoksia.

Lebe80 [01.12.2017 08:05:25]

#

Onko ollut mahdollista, että palvelimella on tiedostojen oikeudet sellaiset, että on päästy ujuttamaan mainosskriptejä lähdekoodiin?

Näytti olleen drupal-asennus, onko sen versio ollut sellainen, ettei ole ollut tunnettuja haavoittuvuuksia esim. moduuleissa?

Onko palvelin muuten sellainen, ettei palvelimen tunnukset ole olleet helposti saatavana?

Itse tsekkaisin vielä, ettei missään drupalin files-hakemistossa ole mitään .php-tiedostoja, joilla voisi esim. uploadata palvelimelle haitallista koodia.

Yleensä siis vanhentuneissa julkaisujärjestelmien tai näiden lisäosien versioissa saattaa olla isojakin aukkoja, joita hyväksikäyttäen kirjautumaton käyttäjä pystyy esim. lähettää palvelimelle omia php-tiedostojaan. Osa siis ei muuta välttämättä mitään näkyvää sivustolla, vaan jossain upload-kansiossa onkin joukko php-tiedostoja, joiden avulla lähetetään roskapostia, tai pahimmassa tapauksessa kalastellaan käyttäjien tunnuksia ja salasanoja.

decoy [01.12.2017 15:48:33]

#

Varmastikkin kaikki mahdollista, sillä aikamoisia aukkoa perustietämyksessä heillä ja itse pahimpiin uhkiin mielessäni varautunut, mutta kun en tiedä asiasta niin pitää kysellä, jotta voi infota.

en tiedä palvelimesta tai niiden asetuksista mitään, muuta kuin melkovarmasti on päivittämättä kaikki.

pahimpiakin tapauksia osannut miettiä mitä ne voi olla.

sivustot on kuulemma kaatunutkin...

kiitoksia vinkeistä, jos innostuu vielä jatkamaan niin minkäsuosituksen antaisitte lauseella tai parilla jonka sitten kerron eteen päin.

mitä parhainta pimeämpää vuoden aikaa, yritetään piristyä näillä led näytöittöjen valoaalloilla.

Lisäys:

niin sen verran vielä että kun latasin tuon sivun indexin, se oli 1,5mt ja näytti pääsääntoisesti tyhjälle, tyhjät rivit poistettuani sain koodin näkyviin, samalla kuitenkin verkkoni päätti kaatua ja ilmoittu uuden verkonlöytymisestä ja jumitteli käynnistymistään tavallisuudestaan poiketen seuraavat päivät.

en tiedä onko tuolla mitään kytköstä mihinkään... mutta noin kävi ja outo tunnelma tuli. teki tällä i3 intelillä ehkä minuutin töitä prossutuulein käynnistyen ennen kuin sai tyhjät rivit poistettua. W10 käytössä. sen omalla padillä ja notepad++ avasin. koko muuttui alta kolmasosaan, eli jotain -500kt

itse päivityskone kyseisille sivuille saattaa olla samassa verkossa missä on teollisuus ohjaimia, pyrolyysilaitteelle joka pikkufirman virite teollisuuskäyttöön. (sähkö ja lämminvesi.) eivät varmuudella edes varmaan tietänyt mistä kysyin kun asiaa selvittelin onko samassa verkossa ohjain-pc ja toimiston koneet.

Vastaus

Aihe on jo aika vanha, joten et voi enää vastata siihen.

Tietoa sivustosta