Назад | Перейти на главную страницу

Кажется, что мой сайт был взломан ... но только при посещении с другого сайта ... как?

Мой сайт altoonadesign.com если вы введете его прямо в браузере, вы попадете на нужный сайт. Однако, если вы выполните поиск по запросу «altoona design» и щелкните ссылку на мой сайт, вы будете перенаправлены на вредоносный сайт.

Я пробовал это в Google Chrome и в Bing в IE. на разных компьютерах всегда с одинаковыми результатами. ввод URL-адреса напрямую приведет вас к моему реальному сайту, нажатие на ссылку в результатах поиска перенаправит вас на вредоносный сайт.

Я не уверен, как это происходит, как это исправить или как предотвратить это в будущем?

Обновить

щелкнув ссылку отсюда, вы также попадете на вредоносный сайт, поэтому кажется, что щелчок по ссылке - это то, что он делает, но ввод ее напрямую не перенаправляет вас ... как это?

Я на самом деле не переходил по вашей ссылке (нет желания встречаться с эксплойтом нулевого дня), но то, что часто случается, когда сервер был взломан, - это то, что код помещается в любые файлы PHP для проверки заголовка реферера и перенаправления, если посещение взято из поисковой системы или откуда угодно, не с текущего сайта.

Это делается для того, чтобы владелец сайта не понял, что взломан, так как вы, вероятно, посетите сайт напрямую, а не найдете его через поисковую систему.

При просмотре исходного кода вашей страницы внизу есть код, который не выглядит так, как будто вы туда поместили:

<div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/passware-myob-key-crack.html'>Passware MYOB Key crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/newstarsoccer-crack.html'>NewStarSoccer crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/pcsentinels-busted-crack.html'>PCSentinels Busted crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/3dmark2001-crack.html'>3DMark2001 crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/acdsee50powerpack-crack.html'>ACDSee50PowerPack crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://keygen-0day.ws/database/My%20TypeArtist%201.000B/'>My TypeArtist 1.000B</a></div></body> 
<!-- InstanceEnd --></html> 
<script>check_content()</script>check_content()</script>

При использовании fiddler и доступе к вашему сайту через Google я вижу, что он переходит на ваш домен 1st, а затем перенаправляется до загрузки всей страницы.

Проверьте свой php-код, вероятно, они добавили какой-то код перенаправления на вашу страницу.

В первую очередь это вопрос программирования, я понятия не имею, что это делает на Serverfault.

В вашем веб-приложении php есть уязвимость, и вам нужно найти ее и исправить. Сначала я хотел бы убедиться, что все ваши библиотеки PHP обновлены. Уязвимость в phpmailer или smarty может позволить хакеру проникнуть на ваш сайт.

Затем я бы просканировал ваш сайт с помощью чего-нибудь вроде Acunetix($) или NTOSpider ($$$). Хорошая альтернатива с открытым исходным кодом - Wapiti и w3af. Эти сканеры могут найти уязвимости, такие как неправильное использование eval() что может привести к такому типу атаки.

Затем вы должны заблокировать php, используя phpsecinfo, удостовериться display_errors=off. Если у вас есть серверная часть MySQL, обязательно отключите file_priv (файловые привилегии) ​​для учетной записи MySQL, используемой PHP.

Вот несколько хороших ресурсов для написания безопасного PHP-кода:

http://phpsec.org/library/

http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Также избегайте FTP, как чумы, прямо сейчас распространяется несколько червей, обнюхивая ваш локальный компьютер для входа в систему FTP, а затем заражая ваш сайт. Также убедитесь, что у вас запущен антивирус на всех машинах с доступом к серверу, даже если он бесплатный, например AVG.