Здається, мій сайт викрадено ... але тільки коли його відвідують з іншого сайту ... як?


16

Мій веб-сайт altoonadesign.com, якщо ви введете його безпосередньо у своєму браузері, він переведе вас на правильний сайт. Однак якщо ви шукаєте "altoona design" і натискаєте на посилання на мій сайт, ви перенаправляєтесь на шкідливий сайт.

Я спробував це в Google на хромі та в bing на IE. на різних комп’ютерах завжди з однаковими результатами. набравши URL-адресу, безпосередньо ви перейдете на мій реальний сайт, натискання посилання в результатах пошуку перенаправляє вас на шкідливий сайт.

Я не впевнений, як це відбувається, як його скасувати чи як запобігти в майбутньому?

оновлення

натискання посилання звідси також переносить вас на шкідливий сайт, тому, здається, натискання на посилання - це те, що робить, але введення його безпосередньо не перенаправляє вас ... як це?

Відповіді:


13

Під час перегляду джерела вашої сторінки внизу є код, який не схожий на його розміщення:

<div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/passware-myob-key-crack.html'>Passware MYOB Key crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/newstarsoccer-crack.html'>NewStarSoccer crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/pcsentinels-busted-crack.html'>PCSentinels Busted crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/3dmark2001-crack.html'>3DMark2001 crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/acdsee50powerpack-crack.html'>ACDSee50PowerPack crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://keygen-0day.ws/database/My%20TypeArtist%201.000B/'>My TypeArtist 1.000B</a></div></body> 
<!-- InstanceEnd --></html> 
<script>check_content()</script>check_content()</script>

Під час використання fiddler та доступу до вашого веб-сайту через Google, я бачу, що він переходить до вашого домену першим, а потім перенаправляється до завантаження всієї вашої сторінки.

Перевірте свій PHP-код, вони, ймовірно, містять код перенаправлення на вашій сторінці.


20

Я насправді не перейшов за вашим посиланням (немає бажання зустрічатися з нульовим днем ​​експлуатації), але те, що часто трапляється, коли сервер був зламаний, - це те, що код вводиться у будь-які файли PHP, щоб перевірити заголовок реферала та перенаправити будь-який при відвідуванні з пошукової системи або з будь-якого місця, а не з поточного сайту.

Це робиться для того, щоб не допустити, щоб власник сайту зрозумів, що хак не працює, оскільки ви, ймовірно, зазвичай відвідуєте сайт безпосередньо, а не знаходите його через пошукову систему.


4
+1 для пояснення "чому". Досить спритний.
BalusC

Дякую, можете порекомендувати, як відстежувати його та виправляти. я повинен почати переглядати всі файли на своєму сайті? Спасибі!
JD Isaacks

Якщо у вас є нещодавнє резервне копіювання (або керування джерелом), використовуйте його :). В іншому випадку почніть переглядати нещодавно змінені файли, файли, модифіковані користувачем веб-сервера або файли, що містять "референс". Швидше за все, код буде принаймні злегка затуманений, тому пошук, можливо, не спрацює. Далі, шукайте точку входу - ви не хочете залишати її відкритою :). Я припускаю, що ви використовуєте PHP, і найвірогідніша перевірка включеного.
Ендрю Ейлетт

4

Перш за все, це питання програмування , я абсолютно не маю уявлення, що це робиться на Serverfault.

У вашій веб-програмі php є вразливість, і вам потрібно знайти її та закріпити. По-перше, я б хотів переконатися, що всі ваші бібліотеки PHP оновлені. Уразливість в phpmailer або smarty може дозволити хакеру проникнути на ваш сайт.

Далі я б просканував ваш сайт із таким чином, як Acunetix ($) або NTOSpider ($$$). Хорошою альтернативою з відкритим кодом є wapiti та w3af . Ці сканери можуть знайти вразливі місця, такі як неправильне використання eval()може призвести до такого типу атак.

Далі слід заблокувати php, використовуючи phpsecinfo , переконайтесь display_errors=off. Якщо у вас є сервер MySQL, переконайтесь, що вимкніть file_priv(привілеї файлів) для облікового запису MySQL, який використовується PHP.

Ось кілька хороших ресурсів для написання захищеного PHP-коду:

http://phpsec.org/library/

http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Також уникайте FTP, як чума, зараз є численні глисти, обнюхуючи локальну машину для FTP-реєстрацій, а потім заражайте ваш сайт. Також переконайтеся, що ви працюєте з антивірусом на всіх машинах, що мають доступ до сервера, навіть якщо його просто безкоштовний, наприклад AVG.


Rook, Початковий недолік майже напевно є проблемою програмування. Але якби сервер був налаштований, а безпека була належним чином затверджена, недолік програмного забезпечення не був би корисним. Мені також цікаво, як ви могли бути на 100% впевнені у тому, що вада полягає у створеному ним програмному забезпеченні, а не в якійсь конфігурації ОС чи чогось іншого інструменту. Якщо робити резервні копії, коли працює належним чином, тоді "виправлення" проблему можна легко виконати шляхом швидкого відновлення.
Зоредаче

@Zoredache право, що проблема може бути проблемою з конфігурацією або вразливістю в іншій службі. Однак багато експлуатацій працюють незалежно від конфігурації чи налаштувань безпеки, наприклад, введення sql. Навіть за допомогою AppArmor та SELinux систему все одно можна легко експлуатувати.
Грак
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.