Tajemnicze reklamy w Joomla – zaskakujące odkrycie

Facebooktwittergoogle_plusredditpinterestlinkedintumblrmailFacebooktwittergoogle_plusredditpinterestlinkedintumblrmail

Raczej sporadycznie przyjmuje tego typu zlecenia, bowiem nie uważam, że koniecznie wymagają one aż mojej wiedzy, a nie forumowej, aby je rozwiązać. Jednakże coś mnie skusiło, można to nazwać wyzwaniem. Otóż klient zgłaszał, że na jego nowo otwartej stronie pojawił się mały blok reklamowy do pewnego serwisu z pirackim oprogramowaniem + jakiś dodatkowy, nie pamiętam już jaki.  W pierwszej chwili pomyślałem, może ktoś mu się włamał. Zresztą taki był tytuł e-maila, więc zasugerowany tym zacząłem drążyć temat …. 

Co ciekawe strona była tak nowa, że jeszcze google nie wiedziało o jej istnieniu, zatem przypadkowy atak nie wchodził w rachubę. Logi nie wskazywały także, aby ktoś spoza przyjaznych IP wchodził na nią, a blokada regionalna FTP (tylko z Polski!) zrobiła swoje.

Przeszukałem i dla pewności nadpisałem wszystkie pliki systemowe Joomla!, ale nadal nic, co ciekawe ów reklama pojawiała się losowo, więc przez chwilę myślałem już po, a tu ….. znów a kuku.

Mijały kolejne cenne minuty, a ja nadal szukałem. Hosting był nasz krajowy, zaufany (proste.pl), nie jakiś darmowy, czy od podejrzanego dostawcy. Jednakże tematyka tych „reklam” wskazywała na pewien trop. Niczym zawodowy detektyw, przyjrzałem się zawartości tych stron, oprócz oferowanych za darmo skryptów były także komponenty i szablony. Sprawdziłem listę użytych przez klienta komponentów, oprócz dwóch darmowych reszta to były domyślne, więc to nie to.

Pozostał szablon, ponieważ był on komercyjny, poprosiłem o ponowne pobranie go ze strony klubowej (zootemplate.com) i podesłanie mi „czystej” wersji. … i tu nagle pojawiły się schody. Okazało się, że stronę ów panu robił jakiś bardzo tani wykonawca i po zrobieniu swojej roboty, zainkasowaniu wynagrodzenia na tym zakończył współpracę. Niestety nie chciał podesłać plików źródłowych, tłumacząc się wykrętnie klientowi.  To wydało mi dziwne. Ale miałem pewny trop – szablon.

Wytłumaczyłem klientowi, że prawdopodobnie padł ofiarą „oszusta”, który wykorzystuje pirackie szablony, i teraz aby naprawić ten stan musimy podjąć stosowne kroki. Po pierwsze wyłączyłem (ale to już wcześniej) stronę w tryb Offline, aby przez przypadek nie „straszyć” klientów klienta tą dziwną reklamą, po drugie powiedziałem, że skoro akurat ten szablon wydał mu się najlepszy, to niestety ale jesteśmy zmuszeni zakupić go w drodze legalnej, a więc niejako raz jeszcze. Owszem mogłem spędzić kolejną godzinę na szukaniu złośliwego kodu w kodzie szablonu, jednakże byłoby to po prostu nie tylko nieopłacalne, ale i nieetyczne. Po czym kupiliśmy szablon / członkostwo, dzięki czemu będzie miał także dostęp do ewentualnych aktualizacji szablonu przez kolejne trzy miesiące.

Podsumowując:
Jak widać prawda okazała się dosyć prozaiczna, ale i bolesna dla właściciela strony. Klient zapłacił 3 razy: Raz dla wykonawcy pierwotnego, drugi raz za usługę (moją), i trzeci raz za szablon, który powinien mieć od samego początku czysty i legalny. Z drugiej strony zupełnie nie rozumiem, czemu ktoś w tak głupi sposób modyfikuje szablony, choć cieszę się, że to była tylko reklama, a nie jakiś kod który by zarażał komputery internautów, jak to miało miejsce ostatnio. Na zakończenie zmieniliśmy hasło zarówno do zaplecza, jak i FTP, aby upewnić się, że nikt niczego nie wykradł, albo nie wykorzysta ponownie.

p.s.

Zapobiegawczo sugeruje też klientom audyt rozpocząć od sprawdzenia skanerem AVG : http://linkscanner.explabs.com/linkscanner/AVG/default.aspx