Google blokirao www.avramovic.info

Posted on maj 17th, 2009 in Računar

Zdravo! Ako si nov na mom blogu možda ćeš želeti da se pretplatiš na RSS kako bi mogao uvek da dobijaš novosti sa mog bloga?

Jutros videh u Inboxu da sam dobio šest istovetnih poruka od noreply@google.com sa naslovom “Malware notification regarding avramovic.info”. Sve su stigle u 02:08. Prvo sam pomislio da je neki spam/scam, međutim, kad sam proverio – nije.

Evo sadržaja mejla:

Dear site owner or webmaster of avramovic.info,

We recently discovered that some of your pages can cause users to be infected with malicious software. We have begun showing a warning page to users who visit these pages by clicking a search result on Google.com.

Below are some example URLs on your site which can cause users to be infected (space inserted to prevent accidental clicking in case your mail client auto-links URLs):

http://www.avramovic .info/cv.pdf
http://www.avramovic .info/contact

Here is a link to a sample warning page:

http://www.google.com/interstitial?url=http%3A//www.avramovic.info/cv.pdf

We strongly encourage you to investigate this immediately to protect your visitors. Although some sites intentionally distribute malicious software, in many cases the webmaster is unaware because:

1) the site was compromised
2) the site doesn’t monitor for malicious user-contributed content
3) the site displays content from an ad network that has a malicious advertiser

If your site was compromised, it’s important to not only remove the malicious (and usually hidden) content from your pages, but to also identify and fix the vulnerability. We suggest contacting your hosting provider if you are unsure of how to proceed. StopBadware also has a resource page for securing compromised sites:

http://www.stopbadware.org/home/security

Once you’ve secured your site, you can request that the warning be removed by visiting

http://www.google.com/support/webmasters/bin/answer.py?answer=45432

and requesting a review. If your site is no longer harmful to users, we will remove the warning.

Sincerely,
Google Search Quality Team

Kada sam na Google-u otkucao “avramovic.info” imao sam šta i da vidim – “This site may harm your computer.” Kada kliknem na rezultat, Google pokazuje upozorenje i ne dozvoljava klijentu da ode na moj sajt.

google-result

Kada probam direktno da odem na sajt – Firefox izbacuje slično upozorenje:

Pogledao sam source kod (iz browsera) glavne stranice svog sajta i našao kriptovani JavaScript kod na samom početku stranice, pre <HTML> taga. Zatim sam pogledao fajlove na serveru, prvo header i footer WordPress teme koju koristim na sajtu i nisam našао ništa, da bih u index.php fajlu samog WordPress-a naišao na php kod koji generiše gore linkovani JS kod i ubacuje ga na stranicu. Odmah sam ga, naravno, uklonio, i zatražio ponovni review sajta iz Google Webmaster Tools-a, kako je i savetovano. Sada čekam na izbacivanje sajta sa blackliste.

Nemam pojma otkud taj kod u index.php fajlu. Proverio sam neke foldere i fajlove koji su ranjivi i preko kojih je ranije upao backdoor na ovaj blog, ali nigde nisam našao ništa sumnjivo. .htaccess fajlovi nisu menjani, nema novih/sumnjivih/izmenjenih php fajlova, osim ovog index.php fajla koji je ubacivao maliciozni JS na sve stranice sajta. Ostaje jedino mogućnost da je malware na nekom drugom sajtu koji se hostuje na istom serveru i da je on uspeo da izmeni index.php fajl na mom sajtu. Zato sam sad stavio chmod 444 na index.php, što bi trebalo da svim korisnicima na serveru dozvoli samo čitanje ovog fajla, ne i pisanje u njega.

Tags: badware, Google, hosting, malware, sajt

This post has 11 comments

puzz
maj 17th, 2009
Prije par tjedana su me pitali zašto sam s wordpressa prešao na blogger (tvrdeći da je to ono “s konja na magarca”). Ja im odgovorih nešto vezano uz sigurnost i potrebe stalnog instaliranja novih verzija, ali nitko mi nije vjerovao

Reply to this comment
Avram
maj 17th, 2009
Čisto sumnjam da to ima veze sa samim WordPress-om. Izmenjen je index.php i ubačen kod koji ispisuje JS kod. To je moglo da se desi na bilo kojoj web aplikaciji, pa i na custom pisanom sajtu.

Reply to this comment
Predrag Supurović
maj 18th, 2009
Slican problem sam imao i ja nedavno na jednom sajtu, doduse nie stiglo do Gogole-a, pre sam j aprimetio da nesto nije u redu (nije mi se pojavljivalo nikakvo upozorenje).

Ubacen je JavaScript kod u index.php. Nije maliciozan nego generise kod koji nekome nabija Google statistiku.

Kvaka je u tome sto je sajt vrlo jednostavan, koristi PHP samo zarad ubacivanja zaglavlja, menija i podnozja u svaku stranu ali nema nikakvih drugih aktivnih elemenata.

Logovi nisu pokazivali nista cudno niti sam naisao na ikakav trag kako je to ubaceno u index.php.

Uklonio sam, stavio to na posmatranje i iako je proslo dosta vremena nista se novo nije desilo.

Kod tebe jos uvek stoji upoyorenje i moram priznati da me je Firefox dobrano iznervirao isnistiranjem da postoji maliciozan kod, cak i kada sam mu rekao da to ignorise. Sors strane nisam uspeo da vidim, jer Firefox jednostavno odbija da ga pokaze. To mu dodje kao da u stvari pomaze napadacima.

Reply to this comment
Avram
maj 18th, 2009
Da, Firefox iz nekog razloga, čak i kad mu klikneš “Ignore this warning”, odbija da prikaže source. Morao sam iz Internet Explorera da gledam source i tražim kod koji je ubačen.

izmena: Sajt je skinut sa black liste. Sve je ok sad

Reply to this comment
BRANKKO
maj 19th, 2009
Slicna stvar se i meni desila pre par dana. Na jednom serveru gde drzim 10ak sajtova svaki index.php i index.html mi je bio na 777 ili 666 i u svaki je ubacen neki malicionzi kod. u index.php je bio neki php kod (na samom pocetku fajla), a u index.html neki JS kod u ifreme-u (skroz na kraju fajla). Kontam da je sbog shared servera, ali nije mi prvi put da se tako nesto desi, tako da sada redovno gledam te kljucne fajlove…

Reply to this comment
puzz
maj 19th, 2009
Istina, koliko sam shvatio stvar je u lokalno instaliranom čudu koji sluša ftp protokol i onda, kad uhvati lozinku i korisničko ime, sad ide postavljat taj javascript. Shared hosting sigurno ne pomaže u tom slučaju, VPS linux hosting rules!

Reply to this comment
puzz
maj 19th, 2009
Usput, ne znam je li to samo meni, ali nakon što upišem komentar i nakon što prođe OpenID autentifikacija dobijem gomilu grešaka:

“Warning: Cannot modify header information – headers already sent by (output started at /home/avram/public_html/blog/wp-content/plugins/avramtar/avramtar.php:53) in /home/avram/public_html/blog/wp-comments-post.php on line 79″

Vjerojatno ti je negdje, nakon čišćenja javascripta ostao neki razmak na kraju php fajla, ili nešto slično.

Reply to this comment
Avram
maj 19th, 2009
E, nemam pojma, Ja dok sam ulogovan na WP ne vidim nikakve greške, a kad izlogovan pokušam da dodam komentar, vidim samo blank page :S

Reply to this comment
Ćuković Miloš
maj 20th, 2009
Bilo je rasprave na DPT-u o ovome, još jedan način je ako držiš sačuvane šifre u total commanderu za ftp konekcije.Od pre 2 godine sve šifre kucam ručno svaki put.

Reply to this comment
David
septembar 26th, 2011
Sta se kasnije desavalo sa ovim ako se secate i sta je na kraju bilo u pitanju?

Posto ja imam isti problem ali na novom novcatom sajtu. Domen sam zakupio pre samo 2 dana i cim sam instalirao wordpress i isprobao par tema, pojavilo se to upozorenje.

Reply to this comment
- Avram
  januar 19th, 2012
  Pa WP je očigledno bio bušan. Ispravio sam to, zatražio ponovni review sajta, Google ga je odblokirao i (da kucnem u drvo ) do sad nisam imao sličnih problema
  
  Reply to this comment