Strona klubtt zaindexowana w google ze złośliwym kodem

[BarTTek]

Sprawa wygląda tak, że forum musi przejść aktualizację do najnowszej wersji skryptu, by to zrobić trzeba niestety zmienić serwer, na którym będą nowsze wersje PHP i MYSQL.

Kolejną sprawą jest to, że Google od początku 2017 chce by strony które wymagają logowania korzystały z certyfikatu SSL, czyli połączenia szyfrowanego, a mówiąc prościej - na forum będziemy wchodzić wpisując na początku adresu https:// a nie http:// jak dotychczas.


Dlatego występuje ten komunikat:
|Wchodzisz na stronę wprowadzającą w błąd
Osoby atakujące na stronie www.klubtt.pl mogą podstępem nakłonić Cię do wykonania czynności niebezpiecznych takich jak zainstalowanie oprogramowania czy ujawnienie danych osobowych (na przykład haseł, numerów telefonów lub danych kart kredytowych).|


Pracujemy nad tym, jednak nie są to rzeczy które można zrobić w kilka minut. Niestety potrzebujemy na to trochę czasu. Oprócz w/w komunikatu forum działa normalnie.

[Kemil]

Sprawa wygląda tak, że forum musi przejść aktualizację do najnowszej wersji skryptu, by to zrobić trzeba niestety zmienić serwer, na którym będą nowsze wersje PHP i MYSQL.

Kolejną sprawą jest to, że Google od początku 2017 chce by strony które wymagają logowania korzystały z certyfikatu SSL, czyli połączenia szyfrowanego, a mówiąc prościej - na forum będziemy wchodzić wpisując na początku adresu https:// a nie http:// jak dotychczas.


Dlatego występuje ten komunikat:
|Wchodzisz na stronę wprowadzającą w błąd
Osoby atakujące na stronie www.klubtt.pl mogą podstępem nakłonić Cię do wykonania czynności niebezpiecznych takich jak zainstalowanie oprogramowania czy ujawnienie danych osobowych (na przykład haseł, numerów telefonów lub danych kart kredytowych).|


Pracujemy nad tym, jednak nie są to rzeczy które można zrobić w kilka minut. Niestety potrzebujemy na to trochę czasu. Oprócz w/w komunikatu forum działa normalnie.

Certyfikat SSL w tym wypadku nie ma nic do rzeczy. Strona bez SSLa jest po prostu oznaczana przez np. chrome (widać to obok paska adresu) jako niezabezpieczona. Patrząc na stopkę, to forum siedzi na vBulletin w wersji 4.2.2. Czyli dosyć stara. Ma kilka wykrytych luk: https://www.cvedetails.com/vulnerabi...tin-4.2.2.html. Jedna dosyć poważna, bo pozwala na zdalne wykonanie SQLa. Inne pozwalają na wstrzyknięcie kodu w stronę i to się właśnie tutaj stało. Google skanuje strony, które indeksuje w poszukiwaniu znanych próbek. Pierwszy lepszy raport z neta: https://sitecheck.sucuri.net/results/klubtt.pl. Wskazuje na na JS/Redirector.AR: https://www.microsoft.com/en-us/wdsi.../Redirector.AR.

Trojan:JS/Redirector.AR is a malicious JavaScript inserted into Web pages by an attacker. The trojan script checks for the presence of Adobe Flash Player and Microsoft Office Web Components, redirecting the user to other Web pages that may exploit the vulnerabilities of Adobe Flash Player and MS Office Web Components.

Teoretycznie nic groźnego ale ktoś mniej wtajemniczony może się naciąć dlatego strona trafiła na czarną listę. Wywalcie ten wstrzyknięty kawałek kodu. Aktualizacja również się przyda, bo najczęściej taki kod jest wstrzykiwany przez boty, które skanują strony w poszukiwaniu niezałatanego softu.

[BarTTek]

Certyfikat SSL w tym wypadku nie ma nic do rzeczy. Strona bez SSLa jest po prostu oznaczana przez np. chrome (widać to obok paska adresu) jako niezabezpieczona. Patrząc na stopkę, to forum siedzi na vBulletin w wersji 4.2.2. Czyli dosyć stara. Ma kilka wykrytych luk: https://www.cvedetails.com/vulnerabi...tin-4.2.2.html. Jedna dosyć poważna, bo pozwala na zdalne wykonanie SQLa. Inne pozwalają na wstrzyknięcie kodu w stronę i to się właśnie tutaj stało. Google skanuje strony, które indeksuje w poszukiwaniu znanych próbek. Pierwszy lepszy raport z neta: https://sitecheck.sucuri.net/results/klubtt.pl. Wskazuje na na JS/Redirector.AR: https://www.microsoft.com/en-us/wdsi.../Redirector.AR.


Teoretycznie nic groźnego ale ktoś mniej wtajemniczony może się naciąć dlatego strona trafiła na czarną listę. Wywalcie ten wstrzyknięty kawałek kodu. Aktualizacja również się przyda, bo najczęściej taki kod jest wstrzykiwany przez boty, które skanują strony w poszukiwaniu niezałatanego softu.

Dziękujemy za sugestie, bardzo cenna rada, weźmiemy ją pod uwagę.