Il mio sito sembra essere stato dirottato ... ma solo quando visitato da un altro sito ... come?

16

Il mio sito Web è altoonadesign.com se lo digiti direttamente nel tuo browser ti porta al sito corretto. Tuttavia, se fai una ricerca per "altoona design" e fai clic sul collegamento al mio sito verrai reindirizzato a un sito dannoso.

Ho provato questo su Google su Chrome e su Bing su Internet Explorer. su computer diversi sempre con gli stessi risultati. digitando l'URL si arriva direttamente al mio sito reale, facendo clic sul collegamento nei risultati della ricerca si reindirizza al sito dannoso.

Non sono sicuro di come stia accadendo, come annullarlo o come prevenirlo in futuro?

aggiornare

fare clic sul collegamento da qui porta anche al sito dannoso, quindi sembra che fare clic su un collegamento sia ciò che fa, ma digitarlo direttamente non ti reindirizza ... come è?

web  security 
JD Isaacks
fonte

Risposte:

13

Quando visualizzi la fonte della tua pagina, c'è un po 'di codice in fondo che non sembra che tu ci abbia messo:

<div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/passware-myob-key-crack.html'>Passware MYOB Key crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/newstarsoccer-crack.html'>NewStarSoccer crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/pcsentinels-busted-crack.html'>PCSentinels Busted crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/3dmark2001-crack.html'>3DMark2001 crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/acdsee50powerpack-crack.html'>ACDSee50PowerPack crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://keygen-0day.ws/database/My%20TypeArtist%201.000B/'>My TypeArtist 1.000B</a></div></body> 
<!-- InstanceEnd --></html> 
<script>check_content()</script>check_content()</script>

Quando utilizzo Fiddler e accedi al tuo sito tramite Google, posso vedere che passa al tuo dominio 1 °, quindi viene reindirizzato prima che l'intera pagina venga caricata.

Controlla il tuo codice php, probabilmente hanno inserito un codice di reindirizzamento nella tua pagina.

Ed B
fonte
20

In realtà non ho seguito il tuo link (nessun desiderio di incontrare un exploit zero-day), ma ciò che spesso accade quando un server è stato violato è che il codice viene inserito in qualsiasi file PHP per controllare l'intestazione del referrer e reindirizzare o se la visita proviene da un motore di ricerca o se proviene da qualsiasi luogo non dal sito corrente.

Questo viene fatto per cercare di impedire al proprietario del sito di rendersi conto che l'hacking è attivo, poiché probabilmente visiterai direttamente il sito piuttosto che trovarlo tramite un motore di ricerca.

Andrew Aylett
fonte
4
+1 per spiegare il "perché". Piuttosto in gamba.
BalusC,
Grazie, posso consigliarmi come rintracciarlo e ripararlo. dovrei solo iniziare a esaminare tutti i file sul mio sito? Grazie!
JD Isaacks,
Se si dispone di un backup recente (o controllo del codice sorgente), utilizzarlo :). Altrimenti, inizia a guardare i file modificati di recente, i file modificati dall'utente del server web o i file contenenti "referrer". È probabile che il codice sia almeno leggermente offuscato, quindi la ricerca potrebbe non funzionare. Quindi, cerca il punto di ingresso - non vuoi lasciarlo aperto :). Suppongo che tu stia utilizzando PHP e che probabilmente è inclusa un'inclusione non selezionata.
Andrew Aylett,
4

Innanzitutto si tratta di una domanda di programmazione , non ho assolutamente idea di cosa stia facendo su Serverfault.

C'è una vulnerabilità nella tua applicazione web php e devi trovarla e correggerla. Per prima cosa vorrei andare e assicurarmi che tutte le tue librerie PHP siano aggiornate. Una vulnerabilità in phpmailer o smarty può consentire a un hacker di entrare nel tuo sito.

Quindi analizzerei il tuo sito con qualcosa come Acunetix ($) o NTOSpider ($$$). Una buona alternativa open source è wapiti e w3af . Questi scanner possono trovare vulnerabilità come l'uso improprio di eval()questo tipo di attacco.

Quindi dovresti bloccare php usando phpsecinfo , assicurati display_errors=off. Se hai un backend MySQL assicurati di disabilitare file_priv(privilegi sui file) per l'account MySQL utilizzato da PHP.

Ecco alcune buone risorse per scrivere codice PHP sicuro:

http://phpsec.org/library/

http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Evita anche FTP come la peste, ci sono molti worm che si stanno diffondendo in questo momento annusando il tuo computer locale per gli accessi FTP e quindi infettando il tuo sito. Assicurati anche di eseguire un antivirus su tutte le macchine con accesso al server, anche se è gratuito come AVG.

Torre
fonte
Rook, Il difetto iniziale è quasi certamente un problema di programmazione. Ma se il server fosse stato configurato e la sicurezza fosse stata rafforzata correttamente, il difetto del software non sarebbe stato sfruttabile. Sono anche curioso di sapere come potresti essere sicuro al 100% che il difetto è nel software che ha sviluppato e non in alcune configurazioni del sistema operativo o in altri strumenti. Se i backup vengono eseguiti correttamente, il problema può essere facilmente risolto mediante un rapido ripristino.
Zoredache,
@Zoredache ha ragione sul fatto che il problema potrebbe essere un problema con la configurazione o una vulnerabilità in un altro servizio. Tuttavia, molti exploit funzionano indipendentemente dalla configurazione o dalle impostazioni di sicurezza, come l'iniezione sql. Anche con AppArmor e SELinux è ancora possibile sfruttare facilmente un sistema.
Rook,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.