Tajemnicze reklamy w Joomla – zaskakujące odkrycie

Facebooktwittergoogle_plusredditpinterestlinkedintumblrmailFacebooktwittergoogle_plusredditpinterestlinkedintumblrmail

Raczej sporadycznie przyjmuje tego typu zlecenia, bowiem nie uważam, że koniecznie wymagają one aż mojej wiedzy, a nie forumowej, aby je rozwiązać. Jednakże coś mnie skusiło, można to nazwać wyzwaniem. Otóż klient zgłaszał, że na jego nowo otwartej stronie pojawił się mały blok reklamowy do pewnego serwisu z pirackim oprogramowaniem + jakiś dodatkowy, nie pamiętam już jaki.  W pierwszej chwili pomyślałem, może ktoś mu się włamał. Zresztą taki był tytuł e-maila, więc zasugerowany tym zacząłem drążyć temat …. 

Co ciekawe strona była tak nowa, że jeszcze google nie wiedziało o jej istnieniu, zatem przypadkowy atak nie wchodził w rachubę. Logi nie wskazywały także, aby ktoś spoza przyjaznych IP wchodził na nią, a blokada regionalna FTP (tylko z Polski!) zrobiła swoje.

Przeszukałem i dla pewności nadpisałem wszystkie pliki systemowe Joomla!, ale nadal nic, co ciekawe ów reklama pojawiała się losowo, więc przez chwilę myślałem już po, a tu ….. znów a kuku.

Mijały kolejne cenne minuty, a ja nadal szukałem. Hosting był nasz krajowy, zaufany (proste.pl), nie jakiś darmowy, czy od podejrzanego dostawcy. Jednakże tematyka tych „reklam” wskazywała na pewien trop. Niczym zawodowy detektyw, przyjrzałem się zawartości tych stron, oprócz oferowanych za darmo skryptów były także komponenty i szablony. Sprawdziłem listę użytych przez klienta komponentów, oprócz dwóch darmowych reszta to były domyślne, więc to nie to.

Pozostał szablon, ponieważ był on komercyjny, poprosiłem o ponowne pobranie go ze strony klubowej (zootemplate.com) i podesłanie mi „czystej” wersji. … i tu nagle pojawiły się schody. Okazało się, że stronę ów panu robił jakiś bardzo tani wykonawca i po zrobieniu swojej roboty, zainkasowaniu wynagrodzenia na tym zakończył współpracę. Niestety nie chciał podesłać plików źródłowych, tłumacząc się wykrętnie klientowi.  To wydało mi dziwne. Ale miałem pewny trop – szablon.

Wytłumaczyłem klientowi, że prawdopodobnie padł ofiarą „oszusta”, który wykorzystuje pirackie szablony, i teraz aby naprawić ten stan musimy podjąć stosowne kroki. Po pierwsze wyłączyłem (ale to już wcześniej) stronę w tryb Offline, aby przez przypadek nie „straszyć” klientów klienta tą dziwną reklamą, po drugie powiedziałem, że skoro akurat ten szablon wydał mu się najlepszy, to niestety ale jesteśmy zmuszeni zakupić go w drodze legalnej, a więc niejako raz jeszcze. Owszem mogłem spędzić kolejną godzinę na szukaniu złośliwego kodu w kodzie szablonu, jednakże byłoby to po prostu nie tylko nieopłacalne, ale i nieetyczne. Po czym kupiliśmy szablon / członkostwo, dzięki czemu będzie miał także dostęp do ewentualnych aktualizacji szablonu przez kolejne trzy miesiące.

Podsumowując:
Jak widać prawda okazała się dosyć prozaiczna, ale i bolesna dla właściciela strony. Klient zapłacił 3 razy: Raz dla wykonawcy pierwotnego, drugi raz za usługę (moją), i trzeci raz za szablon, który powinien mieć od samego początku czysty i legalny. Z drugiej strony zupełnie nie rozumiem, czemu ktoś w tak głupi sposób modyfikuje szablony, choć cieszę się, że to była tylko reklama, a nie jakiś kod który by zarażał komputery internautów, jak to miało miejsce ostatnio. Na zakończenie zmieniliśmy hasło zarówno do zaplecza, jak i FTP, aby upewnić się, że nikt niczego nie wykradł, albo nie wykorzysta ponownie.

p.s.

Zapobiegawczo sugeruje też klientom audyt rozpocząć od sprawdzenia skanerem AVG : http://linkscanner.explabs.com/linkscanner/AVG/default.aspx

  • Witam. Genialna sprawa z tą blokadą regionalną FTP. Czy Autor może się podzielić informacja jak takie cudo zrobić ? 😉

  • Marek Wojtaszek

    Ech, „fahofcy” czyli po prostu złodzieje…

  • Blokadę regionalna FTP – mają niektóre firmy hostingowe w pakiecie. Jeśli nie można poprosić administratora, aby coś takiego mam wdrożył. Albo męczyć panią z działu marketingu, że to im się opłaci 🙂

    p.s.
    W związku z pojawiającymi się przypadkami zawirusowania stron WWW poprzez wykorzystanie wykradzionych haseł do FTP firma hostingowa Proste.pl oraz droższa IQ.pl uruchomiła usługę Firewall FTP. Pozwala on na zapewnienie / ograniczenie dostępu do serwera FTP z wybranej lokalizacji geograficznej, a także adresów IP i całych klas adresowych.

  • Mariusz

    Teraz większości każdy uslugo dawca hostingowy (szanujacy) ma w swojej ofercie blokade dostepu do innych adresów ip niż polska.
    np. nazwa.pl czy wyzej wspomniane przez autora bloga hostingi.

    Co do http://linkscanner.explabs.com/linkscanner/AVG/default.aspx wspomnianego przez autora bloga chce zaznaczyc iż np. komponent OSE Security Suite posiada wbudowany modul skanujac cala witryne (folder public) w poszukiwaniu zlosliwego kodu, skryptu bo np. jeśli włamywacz dostał się do naszego serwera upladujac php shella to taka witryna jak wspomniana przez autora http://linkscanner.explabs.com/linkscanner/AVG/default.aspx nie znajdzie nic, bo niby jak? skoro shell nie bedzie wykonywany z poziomu index.php joomli przez uzytkwonika, dopiero gdy konkretna sciezke zna wlamywacz potrafi zalogować sie do php shella i najlepszym sposobem na wykrycie właśnie jest wspomniany OSE Security Suite a mowiąc dokladniej OSE Anti-Virus™ ktory ma mozliwosc przeszukania wszystkich plikow na serwerze w poszukiwaniu zlosliego kodu. Czy też dobry skrypt http://www.phpantivirus.com/ ktory poszukuje zlosliego kodu.

    Co do znalezienia zlosliwego kodu na stronie i wspomnianej przez autora reklamie wystarczy firebug dodatek do firefoxa gdzie odwolanie do kodu reklamy skierowaloby cie odrazu do szablonu, wiekszosci taki kod jest doklejany do szablonu, wiem to z doswiadczenia klientow z ktorymi sie zetknąłem.

  • jack

    no niestety,
    jak długo będą naiwni, że można nabyć „profesjonalną” stronę
    na all…gro za 99 zł, tak długo będą takie kwiatki się pojawiały.
    Ludzie zdajcie sobie wreszcie sprawę, że nie ma takich promocji.
    Nikt przy zdrowych zmysłach nie będzie takiej strony tworzył ze takie kwoty, no chyba, że chodzi do szkoły i ma 15 lat, a stronę po prostu ukradł.

  • ckris

    Hej, a gdzie najlepiej poszukać zleceniobiorców wykonania stronki w J.?

  • Dominik

    Cześć.
    Wg Ciebie „tani wykonawca” mieści się w jakich przedziałach cenowych za szablon oczywiście?

  • Każda strona, jak i szablon jest inna. Przelicz sobie ile godzin ci to zajmie lub zajęło razy stawka za godzinę. Najlepiej jest podać klientowi cenę widełkową i ustalić przy nim co i za ile.