Мой сайт altoonadesign.com если вы введете его прямо в браузере, вы попадете на нужный сайт. Однако, если вы выполните поиск по запросу «altoona design» и щелкните ссылку на мой сайт, вы будете перенаправлены на вредоносный сайт.
Я пробовал это в Google Chrome и в Bing в IE. на разных компьютерах всегда с одинаковыми результатами. ввод URL-адреса напрямую приведет вас к моему реальному сайту, нажатие на ссылку в результатах поиска перенаправит вас на вредоносный сайт.
Я не уверен, как это происходит, как это исправить или как предотвратить это в будущем?
щелкнув ссылку отсюда, вы также попадете на вредоносный сайт, поэтому кажется, что щелчок по ссылке - это то, что он делает, но ввод ее напрямую не перенаправляет вас ... как это?
Я на самом деле не переходил по вашей ссылке (нет желания встречаться с эксплойтом нулевого дня), но то, что часто случается, когда сервер был взломан, - это то, что код помещается в любые файлы PHP для проверки заголовка реферера и перенаправления, если посещение взято из поисковой системы или откуда угодно, не с текущего сайта.
Это делается для того, чтобы владелец сайта не понял, что взломан, так как вы, вероятно, посетите сайт напрямую, а не найдете его через поисковую систему.
При просмотре исходного кода вашей страницы внизу есть код, который не выглядит так, как будто вы туда поместили:
<div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/passware-myob-key-crack.html'>Passware MYOB Key crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/newstarsoccer-crack.html'>NewStarSoccer crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/pcsentinels-busted-crack.html'>PCSentinels Busted crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/3dmark2001-crack.html'>3DMark2001 crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/acdsee50powerpack-crack.html'>ACDSee50PowerPack crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://keygen-0day.ws/database/My%20TypeArtist%201.000B/'>My TypeArtist 1.000B</a></div></body>
<!-- InstanceEnd --></html>
<script>check_content()</script>check_content()</script>
При использовании fiddler и доступе к вашему сайту через Google я вижу, что он переходит на ваш домен 1st, а затем перенаправляется до загрузки всей страницы.
Проверьте свой php-код, вероятно, они добавили какой-то код перенаправления на вашу страницу.
В первую очередь это вопрос программирования, я понятия не имею, что это делает на Serverfault.
В вашем веб-приложении php есть уязвимость, и вам нужно найти ее и исправить. Сначала я хотел бы убедиться, что все ваши библиотеки PHP обновлены. Уязвимость в phpmailer или smarty может позволить хакеру проникнуть на ваш сайт.
Затем я бы просканировал ваш сайт с помощью чего-нибудь вроде Acunetix($) или NTOSpider ($$$). Хорошая альтернатива с открытым исходным кодом - Wapiti и w3af. Эти сканеры могут найти уязвимости, такие как неправильное использование eval()
что может привести к такому типу атаки.
Затем вы должны заблокировать php, используя phpsecinfo, удостовериться display_errors=off
. Если у вас есть серверная часть MySQL, обязательно отключите file_priv
(файловые привилегии) для учетной записи MySQL, используемой PHP.
Вот несколько хороших ресурсов для написания безопасного PHP-кода:
http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
Также избегайте FTP, как чумы, прямо сейчас распространяется несколько червей, обнюхивая ваш локальный компьютер для входа в систему FTP, а затем заражая ваш сайт. Также убедитесь, что у вас запущен антивирус на всех машинах с доступом к серверу, даже если он бесплатный, например AVG.