Link injection spam

sKrud

Meget sliten student
En av mine sider har i lengre tid vært plaget med link injection spam.. Siden er spillnett.no, å spammet ser slik ut:
PHP:
<div style="position:absolute;left:-1064px;top:-547px"><a href="http://spillnett.no/?flx=cheap-tramadol">Cheap tramadol</a>&nbsp;<a href="http://spillnett.no/?flx=zithromax">Zithromax</a>&nbsp;<a href="http://spillnett.no/?flx=viagra-online">Viagra online</a>&nbsp;<a href="http://spillnett.no/?flx=order-viagra-online">Order viagra online</a>&nbsp;<a href="http://spillnett.no/?flx=buy-viagra-online">Buy viagra online</a>&nbsp;<a href="http://spillnett.no/?flx=high-roller-casino">High roller casino</a>&nbsp;<a href="http://spillnett.no/?flx=quick-payday-loan">Quick payday loan</a>&nbsp;<a href="http://spillnett.no/?flx=buy-levitra-online">Buy levitra online</a>&nbsp;<a href="http://spillnett.no/?flx=cialis-generic-levitra-viagra">Cialis generic levitra viagra</a>&nbsp;<a href="http://spillnett.no/?flx=online-cialis">Online cialis</a>&nbsp;<a href="http://spillnett.no/?flx=generic-viagra-cheap">Generic viagra cheap</a>&nbsp;<a href="http://spillnett.no/?flx=tramadol-no-prescription">Tramadol no prescription</a>&nbsp;<a href="http://spillnett.no/?flx=online-bingo">Online bingo</a>&nbsp;<a href="http://spillnett.no/?flx=augmentin">Augmentin</a>&nbsp;<a href="http://spillnett.no/?flx=valium">Valium</a>&nbsp;<a href="http://spillnett.no/?flx=order-zithromax">Order zithromax</a>&nbsp;<a href="http://spillnett.no/?flx=casino-game">Casino game</a>&nbsp;<a href="http://spillnett.no/?flx=consumer-credit-debt-consolidation">Consumer credit debt consolidation</a>&nbsp;<a href="http://spillnett.no/?flx=buy-cialis-now">Buy cialis now</a>&nbsp;<a href="http://spillnett.no/?flx=casino-download">Casino download</a>&nbsp;<a href="http://spillnett.no/?flx=generic-nexium">Generic nexium</a>&nbsp;<a href="http://spillnett.no/?flx=cefuroxime">Cefuroxime</a>&nbsp;<a href="http://spillnett.no/?flx=personal-loan">Personal loan</a>&nbsp;<a href="http://spillnett.no/?flx=credit-debt-consolidation">Credit debt consolidation</a>&nbsp;<a href="http://spillnett.no/?flx=cheap-life-insurance">Cheap life insurance</a>&nbsp;<a href="http://spillnett.no/?flx=cialis-for-sale">Cialis for sale</a>&nbsp;<a href="http://spillnett.no/?flx=arizona-auto-insurance">Arizona auto insurance</a>&nbsp;<a href="http://spillnett.no/?flx=car-insurance-new-york">Car insurance new york</a>&nbsp;<a href="http://spillnett.no/?flx=asthma">Asthma</a>&nbsp;<a href="http://spillnett.no/?flx=effexor">Effexor</a>&nbsp;<a href="http://spillnett.no/?flx=veternarian">Veternarian</a>&nbsp;<a href="http://spillnett.no/?flx=pharmaceutical-companies">Pharmaceutical companies</a>&nbsp;<a href="http://spillnett.no/?flx=funeral-director">Funeral director</a>&nbsp;<a href="http://spillnett.no/?flx=pediatricians">Pediatricians</a>&nbsp;<a href="http://spillnett.no/?flx=personal-trainer">Personal trainer</a>&nbsp;<a href="http://spillnett.no/?flx=child-care">Child care</a>&nbsp;<a href="http://spillnett.no/?flx=board-of-cosmetology">Board of cosmetology</a>&nbsp;<a href="http://spillnett.no/?flx=casino-online">Casino online</a>&nbsp;<a href="http://spillnett.no/?flx=tamiflu">Tamiflu</a>&nbsp;<a href="http://spillnett.no/?flx=fluoxetine">Fluoxetine</a>&nbsp;<a href="http://spillnett.no/?flx=meridia-online">Meridia online</a>&nbsp;<a href="http://spillnett.no/?flx=seroquel">Seroquel</a>&nbsp;<a href="http://spillnett.no/?flx=bactrim">Bactrim</a>&nbsp;<a href="http://spillnett.no/?flx=philadelphia">Philadelphia</a>&nbsp;<a href="http://spillnett.no/?flx=flomax">Flomax</a>&nbsp;<a href="http://spillnett.no/?flx=get-adipex">Get adipex</a>&nbsp;<a href="http://spillnett.no/?flx=pharmacy-online">Pharmacy online</a>&nbsp;<a href="http://spillnett.no/?flx=online-forex-trading">Online forex trading</a>&nbsp;<a href="http://spillnett.no/?flx=diet-pills">Diet pills</a>&nbsp;<a href="http://spillnett.no/?flx=cheap-flight">Cheap flight</a>&nbsp;<a href="http://spillnett.no/?flx=renters-insurance">Renters insurance</a>&nbsp;<a href="http://spillnett.no/?flx=pctools-spyware-doctor">Pctools spyware doctor</a>&nbsp;<a href="http://spillnett.no/?flx=get-hydrocodone">Get hydrocodone</a>&nbsp;<a href="http://spillnett.no/?flx=3-in-1-credit-report">3 in 1 credit report</a>&nbsp;<a href="http://spillnett.no/?flx=air-travel">Air travel</a>&nbsp;<a href="http://spillnett.no/?flx=forex-broker">Forex broker</a>&nbsp;<a href="http://spillnett.no/?flx=investing">Investing</a>&nbsp;<a href="http://spillnett.no/?flx=patio-furniture">Patio furniture</a>&nbsp;<a href="http://spillnett.no/?flx=insurance-quotes">Insurance quotes</a>&nbsp;<a href="http://spillnett.no/?flx=forex-trading-system">Forex trading system</a>&nbsp;</div>

Det legger seg rett etter bodytagen.. jeg har prøvd det meste jeg kan komme på for å få fjernet dette.. Mange av metodene klarer å holde det borte i perioder, men så dukker det opp igjen etter en stund.

Har hatt flere dyktige programmerer til å se på dette, uten at det har løst saken. Jeg har snakket med Solidhost (som hoster siden), uten at de kan se at de kunne gjøre (eller vil gjøre noe)..

Så nå henvender jeg meg til dere.. Er det noen som vet hva dette er for noe dritt?? Å hvordan i alle dager får jeg dette bort?

Sicdn har allerede blitt deindeksert en gang pga dette, å har mistet latterlige mengder SERP grunnet dette...

Så HJELP!
 

kongen

kongemedlem
Du kan kanskje forsøke å fjerne skriverrettigheter (444) på selve filen hvor denne koden legger seg.
 

Mr Vest

Sjefen over alle sjefer!
Årsakene til dette kan være mange. Det kan være kode i themet ditt og det kan være kode hvorsomhelst i en plugin og sikkert andre årsaker også.

Når jeg klikker på en av disse linkene blir jeg faktisk ikke sendt bort fra Spillnett.no, men inn på en form for en underside. Her er f.eks en underside (bytt ut hxxp med http): hxxp://www.spillnett.no/?flx=personal-trainer

Les nederst på denne siden. Der finner vi "back to home page" som linker til spillnett.no, og videre finner vi "About Thumbshots thumbnails." Det ser altså ut til at det er noen som kaller seg "Thumbshots thumbnails" som får ut disse linkene. Kanskje det kan hjelpe å sende dem en epost for å høre hva som gjør dette. Har du et innstikk som lager thumbs av noe installert?

Videre finner du ?flx= på alle linkene. Om du søker gjennom alle filene på hele WP-installasjonen etter "flx" og får et resultat, da kan jeg se for meg at det er noe i filene den gir tilbake som lager til disse linkene. Ellers er det ikke sikkert du får et resultat da de litt smartere spammerne pleier å legge dette inn i en slags kryptert form slik at du skal forstå enda mindre. Om du har noe kode i themet eller i en plugin som ser helt fullstendig rar ut - da kan du være rimelig sikker på at det er synderen.
 

picxx

WF 09
Jeg sliter for tiden med samme problem som deg, dog med ett litt større kvanta.
Har tre webhoster (rundt 30 sider) som er infisert av en eller annen malware (neppe linkspam, da siden "går blank" når den først er infisert).

Det jeg har forsøkt å gjort er å laste ned hele wp-content folderen og gå over hver eneste fil for å finne injeksjoner. Sletter også andre filer som er opprettet, og som sikkert virker som en aktivator for den eksterne siden til å injesere dritten igjen.
Har forøkt å forandre passord der hvor det er mulig.
Gått gjennom databasen, nesten tabell for tabell.
Tatt kontakt med host, som er lite villig til å hjelpe med noen ting.
Forsøkt å dobbelbeskytte admin ved å legge inn ekstra passordbeskyttelse (.htaccess).
Fulgt "vanlige sikkerhetsråd" for å beskytte en side.
Selvsagt scannet egen PC for alt av virus, malware og spyware.

Likevel.... etter jeg har "innstallert" wordpress på nytt, med den rene wp-content mappa er svineriet tilbake på akkurat samme plass innen kort tid (gjerne mellom 2100-2400 norsk tid).

Må si jeg faktisk vurderer å legge hele nettbizzen på hylla, og kun beholde noen få domener, før jeg starter med noe annet.
Dette gidder jeg ihvertfall ikke.
 

sKrud

Meget sliten student
Ja, har sett er denne karen et par dager nå på msn..men han er ikke lett å få tak i..sender han en PM nå..Takk for alle tilbakemeldinger så langt..kommer til å legge inn oppdateringer her med progressjonen på problemet.
 

SolidHost

Medlem
Når det gjelder mysql injection/link injection, så har dette meget sjelden noe med din host å gjøre, da det i begge tilfellene skyldes en feil/"bug" i programvaren som lar noen utføre dette. Dersom din host er infisert av noe, ville alle nettsteder med samme programvare på samme server ha hatt samme problem.

I og med at vi ikke har support for tredje-parts programvare så kan ikke vi gjøre noe med dette. Vi har rett og slett ikke tid eller mulighet til å holde oss oppdatert på alt som installeres av programmer på våre servere og deretter drive feilsøking på dette. Vår jobb er servere og hjelpe folk med problemer som skyldes våre servere.

Det er heller ikke mulig å spore slike ting i logger, da det i loggene framstår som en vanlig besøkende som f. eks har utført en post-kommando via et skjema du har på siden din.

På generel basis, så kan jeg si at det trenger ikke nødvendigvis å være nye filer som er problemet. Man prøver jo så godt man kan å holde ting oppdatert, men selv om man oppdaterer ting, så kan en gammel fil, som det er mulig å utnytte, ligge igjen på serveren. Når det gjelder wordpress, så er det jo også i mange tilfeller en god del innstikk å holde orden på og også her kan det bli liggende en gammel fil igjen på serveren som lar seg utnytte.

I det hele tatt så er det desverre mange faktorer som kan påvirke slike ting og den eneste kuren vil i mange tilfeller være å slette alt av filer og starte med en fresh installasjon og kun installere "nye" filer/versjoner av det man benytter.
 

tyr897

Medlem
Ettersom det skjer relativt raskt etter reinstallasjon, kan dere logge (via et script) detaljerte requests av alt som kommer - det burde da gå rimelig kjapt å gå gjennom loggen etterpå og finne ut hvilket hull som benyttes.
 

kongen

kongemedlem
Å det er kun en fil som har 444..å det er .htaccess ...men om du har noen tips så sleng gjerne ut litt mer spesifikt..

Kanskje det som er årsaken, at kun .htaccess er 444. Hvis du setter den filen(e) som blir infiserte til 444 (altså at du fjerner skriverrettighetene og har kun leserettigheter) så kan ingen skrive/redigere/legge_inn kode i filen(e) dine.

Generelt bør man fjerne alle skriverrettigheter på filer/mapper som ikke er avhengig av å ha skriverrettigheter.
 
J

Jiberish

Guest
Som jeg opplever det så kommer slike ting som regel av 2 (3) mulige problemer.

1. Filrettigheter

Avhengig av hvordan hosten din har konfigurert PHP-installasjonen sin så bør det være mulig å fjerne les- og skriverettigheter for andre enn seg selv på alle PHP-filer (forutsetter vel suphp hos host). Det gjør det nesten umulig for andre å editere koden din.

Hvis programvaren du bruker krever andre filrettigheter, vurder om du virkelig trenger den programvaren.


2. Sikkerhetshull i programvaren du bruker

Det er ekstremt viktig at du holder programvaren din oppdatert. Det sitter (som jeg opplever det) miljoner av asiater og østeuropeere som prøver å knekke Wordpress, Joomla, Zencart, osv. Til slutt så finner dem en ny bug i hver versjon. Oppdateringer kommer av en grunn.


3. Noen har fått tak på ditt FTP-passord (ikke like vanlig, men fortsatt vanlig)

Du har en svakhet (keylogger, backdoor, osv) på maskinen din eller en maskin du har brukt. Scan maskinen din og fjern alt søppel, bytt deretter alle passord du har brukt på maskinen.
 

tyr897

Medlem
Det jeg tenker på er å legge til en hook som kjøres før resten av WP, som logger mer detaljert enn access.log - dvs. med fulle headers.
 
Topp