Trang web của tôi dường như bị tấn công, nhưng chỉ khi được truy cập từ một trang khác thì thế nào?


16

Trang web của tôi là altoonadesign.com nếu bạn nhập trực tiếp vào trình duyệt, nó sẽ đưa bạn đến đúng trang web. Tuy nhiên, nếu bạn thực hiện tìm kiếm "thiết kế altoona" và nhấp vào liên kết đến trang web của tôi, bạn sẽ được chuyển hướng đến một trang web độc hại.

Tôi đã thử điều này trong google trên chrome và bing trên IE. trên các máy tính khác nhau luôn có cùng kết quả. gõ url trực tiếp sẽ đưa bạn đến trang web thực sự của tôi, nhấp vào liên kết trong kết quả tìm kiếm sẽ chuyển hướng bạn đến trang web độc hại.

Tôi không chắc chắn làm thế nào điều này xảy ra, làm thế nào để hoàn tác nó, hoặc làm thế nào để ngăn chặn nó trong tương lai?

cập nhật

nhấp vào liên kết từ đây cũng đưa bạn đến trang web độc hại, vì vậy có vẻ như nhấp vào liên kết là gì, nhưng nhập trực tiếp vào nó không chuyển hướng bạn ... làm thế nào?

Câu trả lời:


13

Khi xem nguồn của trang của bạn, có một số mã ở dưới cùng trông không giống như bạn đặt ở đó:

<div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/passware-myob-key-crack.html'>Passware MYOB Key crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/newstarsoccer-crack.html'>NewStarSoccer crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/pcsentinels-busted-crack.html'>PCSentinels Busted crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/3dmark2001-crack.html'>3DMark2001 crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/acdsee50powerpack-crack.html'>ACDSee50PowerPack crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://keygen-0day.ws/database/My%20TypeArtist%201.000B/'>My TypeArtist 1.000B</a></div></body> 
<!-- InstanceEnd --></html> 
<script>check_content()</script>check_content()</script>

Khi sử dụng fiddler và truy cập trang web của bạn thông qua google, tôi có thể thấy rằng nó đi đến tên miền của bạn 1, và sau đó được chuyển hướng trước khi tải toàn bộ trang của bạn.

Kiểm tra mã php của bạn, họ có thể đặt một số mã chuyển hướng trong trang của bạn.


20

Tôi đã không thực sự theo liên kết của bạn (không mong muốn gặp khai thác 0 ngày), nhưng điều thường xảy ra khi máy chủ bị hack là mã đó được đưa vào bất kỳ tệp PHP nào để kiểm tra tiêu đề của người giới thiệu và chuyển hướng nếu truy cập là từ một công cụ tìm kiếm hoặc nếu nó từ bất cứ nơi nào không phải là trang web hiện tại.

Điều này được thực hiện để cố gắng ngăn chủ sở hữu trang web nhận ra vụ hack, vì có lẽ bạn sẽ thường truy cập trang web trực tiếp thay vì tìm thấy nó thông qua một công cụ tìm kiếm.


4
+1 để giải thích "tại sao". Khá thông minh.
BalusC

Cảm ơn bạn, có thể đề nghị làm thế nào tôi theo dõi nó và sửa chữa nó. Tôi có nên bắt đầu duyệt qua tất cả các tệp trên trang web của mình không? Cảm ơn!
JD Isaacks

Nếu bạn có một bản sao lưu gần đây (hoặc kiểm soát nguồn), hãy sử dụng nó :). Nếu không, hãy bắt đầu xem các tệp được sửa đổi gần đây, các tệp được sửa đổi bởi người dùng máy chủ web hoặc các tệp có chứa "tham chiếu". Cơ hội là mã ít nhất sẽ bị xáo trộn nhẹ, vì vậy việc tìm kiếm có thể không hoạt động. Tiếp theo, hãy tìm điểm vào - bạn không muốn để nó mở :). Tôi giả sử bạn đang sử dụng PHP và rất có thể bao gồm không được kiểm tra.
Andrew Aylett

4

Đầu tiên và quan trọng nhất đây là một câu hỏi lập trình , tôi hoàn toàn không biết điều này đang làm gì trên Serverfault.

Có một lỗ hổng trong ứng dụng web php của bạn và bạn cần tìm nó và vá nó. Đầu tiên tôi sẽ đi và đảm bảo rằng tất cả các thư viện PHP của bạn được cập nhật. Một lỗ hổng trong phpmailer hoặc smarty có thể cho phép tin tặc xâm nhập vào trang web của bạn.

Tiếp theo tôi sẽ quét trang web của bạn bằng một cái gì đó như Acunetix ($) hoặc NTOSpider ($$$). Một thay thế nguồn mở tốt là wapitiw3af . Các máy quét này có thể tìm thấy các lỗ hổng như lạm dụng eval()có thể dẫn đến loại tấn công này.

Tiếp theo, bạn nên khóa php bằng phpsecinfo , đảm bảo display_errors=off. Nếu bạn có một phụ trợ MySQL, hãy đảm bảo tắt file_priv(đặc quyền tệp) cho tài khoản MySQL được sử dụng bởi PHP.

Dưới đây là một số tài nguyên tốt để viết mã PHP an toàn:

http://phpsec.org/l Library /

http://www.owasp.org/index.php/Carget:OWASP_Top_Ten_Project

Cũng tránh FTP như bệnh dịch hạch, có nhiều sâu lây lan ngay bây giờ bằng cách đánh hơi máy cục bộ của bạn để đăng nhập FTP và sau đó lây nhiễm trang web của bạn. Ngoài ra, hãy đảm bảo rằng bạn đang chạy chương trình chống vi-rút trên tất cả các máy có quyền truy cập vào máy chủ, ngay cả khi nó chỉ là một máy miễn phí như AVG.


Rook, lỗ hổng ban đầu gần như chắc chắn là một vấn đề lập trình. Nhưng nếu máy chủ được thiết lập và bảo mật đã được tăng cường đúng cách, lỗ hổng phần mềm có thể không được khai thác. Tôi cũng tò mò làm thế nào bạn có thể chắc chắn 100% lỗ hổng trong phần mềm do anh ấy phát triển chứ không phải trong một số cấu hình của HĐH hoặc một công cụ nào khác. Nếu sao lưu ở nơi chạy đúng thì 'sửa', vấn đề có thể dễ dàng được thực hiện bằng cách khôi phục nhanh.
Zoredache

@Zoredache quyền của bạn rằng vấn đề có thể là vấn đề với cấu hình hoặc lỗ hổng trong dịch vụ khác. Tuy nhiên, nhiều khai thác hoạt động bất kể cấu hình hoặc cài đặt bảo mật, chẳng hạn như sql tiêm. Ngay cả với AppArmor và SELinux, một hệ thống vẫn có thể được khai thác dễ dàng.
Rook
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.