Meu site parece ser sequestrado… mas somente quando visitado de outro site… como?

16

Meu site é altoonadesign.com se você digitá-lo diretamente em seu navegador, você será direcionado para o site correto. No entanto, se você pesquisar "altoona design" e clicar no link para o meu site, você será redirecionado para um site malicioso.

Eu tentei isso no google no Chrome e no Bing. em computadores diferentes sempre com os mesmos resultados. Digitar o URL leva você diretamente ao meu site real, clicando no link nos resultados da pesquisa redireciona você para o site malicioso.

Não sei como isso está acontecendo, como desfazê-lo ou como evitá-lo no futuro?

atualizar

clicar no link daqui leva você para o site malicioso também, então parece que clicar em um link é o que faz, mas digitá-lo diretamente não o redireciona ... como é isso?

    
por JD Isaacks 24.06.2010 / 15:29

3 respostas

13

Ao visualizar a origem da sua página, há algum código na parte inferior que não parece que você colocou lá:

<div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/passware-myob-key-crack.html'>Passware MYOB Key crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/newstarsoccer-crack.html'>NewStarSoccer crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/pcsentinels-busted-crack.html'>PCSentinels Busted crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/3dmark2001-crack.html'>3DMark2001 crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/acdsee50powerpack-crack.html'>ACDSee50PowerPack crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://keygen-0day.ws/database/My%20TypeArtist%201.000B/'>My TypeArtist 1.000B</a></div></body> 
<!-- InstanceEnd --></html> 
<script>check_content()</script>check_content()</script>

Ao usar o violinista e acessar seu site através do google, posso ver que ele vai para o seu domínio primeiro e, em seguida, é redirecionado antes que toda a sua página seja carregada.

Verifique seu código php, eles provavelmente colocaram algum código de redirecionamento em sua página.

    
por 24.06.2010 / 15:45
20

Na verdade, eu não segui o seu link (não desejo encontrar uma exploração de dia zero), mas o que acontece quando um servidor é hackeado é que ele é colocado em qualquer arquivo PHP para verificar o cabeçalho do referenciador e redirecionar se a visita for de um mecanismo de pesquisa ou se for de qualquer lugar e não do site atual.

Isso é feito para impedir que o proprietário do site perceba que o hack está em vigor, já que você provavelmente visitará o site diretamente, em vez de encontrá-lo por meio de um mecanismo de pesquisa.

    
por 24.06.2010 / 15:33
4

Em primeiro lugar, esta é uma questão de programação , não tenho absolutamente nenhuma idéia do que isso está fazendo no Serverfault.

Existe uma vulnerabilidade na sua aplicação web php e você precisa encontrá-la e corrigi-la. Primeiro eu iria embora e certifique-se de que todas as suas bibliotecas PHP estão atualizadas. Uma vulnerabilidade no phpmailer ou no smarty pode permitir que um hacker invada seu site.

Em seguida, eu digitalizaria seu site com algo como Acunetix ($) ou NTOSpider ($$$). Uma boa alternativa de código aberto é o wapiti e w3af . Esses scanners podem encontrar vulnerabilidades, como uso indevido de eval() , o que pode levar a esse tipo de ataque.

Em seguida, você deve bloquear o php usando o phpsecinfo , certifique-se de display_errors=off . Se você tem um backend MySQL, certifique-se de desabilitar file_priv (privilégios de arquivo) para a conta MySQL usada pelo PHP.

Aqui estão alguns bons recursos para escrever código PHP seguro:

link

link

Além disso, evite o FTP como a praga, existem vários worms espalhando-se por cheirar sua máquina local para logins de FTP e infectar seu site. Também verifique se você está executando um antivírus em todas as máquinas com acesso ao servidor, mesmo que seja apenas um gratuito como o AVG.

    
por 24.06.2010 / 20:41

Tags