Sajt sporo radi - verovatno malware

Moderators: TheHacker, cicans

Locked
User avatar
Damiao
Joomla! Apprentice
Joomla! Apprentice
Posts: 9
Joined: Sun Jan 30, 2011 9:04 pm

Sajt sporo radi - verovatno malware

Post by Damiao » Thu Sep 19, 2013 8:54 am

Pisem ovo jer ce mozda neko imati slican problem, pa ga mozda uz pomoc ovog posta i resi. Bice malo poduzi post, ali cenim da ce nekome biti koristan. Dakle, radi se o sajtu koji je radjen u Joomla 1.5.21 verziji (znam, znam, trebao si da azuriras Joomlu na visu verziju, ali sajt tada sigurno ne bi radio jer ima puno izmenjenih core fajlova, core fajlova u modulima i fajlova u samom templateu, drugim recima bio bi ogroman posao da se svaki put azurira).
Elem, u poslednjih par meseci se desavalo da sajt ne radi u backendu, tj, udje se u backend ali cim se klikne na neku stavku dobije se prazna stranica. 'Aj prvih par puta to smo resavali vracanjem backup-a, menjanjem svih zivih i nezivih sifri, ali kao je to postalo sve ucestalije, a i sam sajt je pooceo veoma sporo da radi, resio sam da promenimo hosting provajdera. Sajt je hostovan, na ovde, a i sire, "omiljenom" ;) Orionu, pa sam zbog iskustva drugih, a tada i mojeg, resio da predjem na drugog provajdera. Odabrali smo DreamWeb hosting (nije placena, niti bilo kakva reklama, bitno je zbog kasnijeg razvoja stvari) i sajt je prvih mesec dana radio besprekorno. Problem sa backendom je nestao, ali mic po mic, sve je sporije radio, dok nije doslo do toga da se svaka strana SEM naslovne ucitava po 20-ak sec. Ovo napominjem jer je simptomaticno za ovaj problem da se naslovna strana ucitava u milisekundi, a ostale po 20 sekundi. Kontaktirao sam podrsku i resili smo problem isti dan uz malo prepiske i puno njihove pomoci.
Nasli su da sajt sve vreme pokusava da kontaktira, meni nepoznatu adresu http://ipinfodb.com/, na kojoj se nalazi "Free IP Address Geolocation Tools". Ova informacija koliko je korisna, meni i nije bila od preteranog znacaja, jer samo morao da pretrazujem sve php i js fajlove da vidim gde se to pominje. Medjutim, tehnicka podrska mi je i tu pomogla pa su nasli da se sporna adresa nalazi u libraries/joomla/plugin/bQozxw.php fajlu. Odmah, po pogledu na naziv fajla moze da se zakljuci da on tamo ne pripada, medjutim njegovim brisanjem sam dobio da posetom na nas sajt dobijem samo izvestaj o gresci na nekom helper.php fajlu (ne mogu sad da se setim na kom, ali u samom izvestaju stoji tacna putanja do fajla). U tom samom fajlu postoji jedna linija gde se poziva gore navedeni fajl i kad sam nju izbrisao, sajt je najzad proradio besprekorno i opet brzo :D . Izvinjavam se zbog duzine posta i eventualne anti-reklame i pro-reklame, ali mislim da je lepo da nekad nekoga i pohvalimo kad svoj posao radi kako treba...

Locked

Return to “Bezbednost”