ดูเหมือนว่าเว็บไซต์ของฉันจะถูกขโมย ... แต่เมื่อเข้าชมจากเว็บไซต์อื่นเท่านั้น ...


16

เว็บไซต์ของฉันคือaltoonadesign.comหากคุณพิมพ์โดยตรงในเบราว์เซอร์จะนำคุณไปยังเว็บไซต์ที่ถูกต้อง อย่างไรก็ตามหากคุณค้นหา "altoona design" และคลิกที่ลิงค์ไปยังเว็บไซต์ของฉันคุณจะถูกนำไปยังเว็บไซต์ที่เป็นอันตราย

ฉันลองใน google บน chrome และใน bing บน IE บนคอมพิวเตอร์เครื่องอื่นที่มีผลลัพธ์เดียวกันเสมอ การพิมพ์ URL จะนำคุณไปยังเว็บไซต์จริงของฉันโดยตรงการคลิกลิงก์ในผลการค้นหาจะนำคุณไปยังเว็บไซต์ที่เป็นอันตราย

ฉันไม่แน่ใจว่าสิ่งนี้เกิดขึ้นได้อย่างไรจะยกเลิกได้อย่างไรหรือจะป้องกันได้อย่างไรในอนาคต

ปรับปรุง

การคลิกที่ลิงก์จากที่นี่จะนำคุณไปยังไซต์ที่เป็นอันตรายด้วยดังนั้นดูเหมือนว่าการคลิกลิงก์คือสิ่งที่มันทำ แต่การพิมพ์ลิงค์ในนั้นไม่ได้นำคุณไปโดยตรง ... มันเป็นอย่างไร

คำตอบ:


13

เมื่อดูแหล่งที่มาของหน้าของคุณจะมีโค้ดอยู่ด้านล่างซึ่งไม่เหมือนกับที่คุณใส่:

<div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/passware-myob-key-crack.html'>Passware MYOB Key crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/newstarsoccer-crack.html'>NewStarSoccer crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/pcsentinels-busted-crack.html'>PCSentinels Busted crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/3dmark2001-crack.html'>3DMark2001 crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/acdsee50powerpack-crack.html'>ACDSee50PowerPack crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://keygen-0day.ws/database/My%20TypeArtist%201.000B/'>My TypeArtist 1.000B</a></div></body> 
<!-- InstanceEnd --></html> 
<script>check_content()</script>check_content()</script>

เมื่อใช้พู้ทำเล่นและเข้าถึงเว็บไซต์ของคุณผ่าน google ฉันจะเห็นว่ามันไปที่โดเมนของคุณอันดับที่ 1 จากนั้นจะถูกเปลี่ยนเส้นทางก่อนที่จะโหลดหน้าเว็บทั้งหมดของคุณ

ตรวจสอบรหัส php ของคุณซึ่งอาจใส่รหัสการเปลี่ยนเส้นทางในหน้าเว็บของคุณ


20

ฉันไม่ได้ติดตามลิงก์ของคุณ (ไม่ต้องการพบการใช้ประโยชน์แบบ zero-day) แต่สิ่งที่มักจะเกิดขึ้นเมื่อเซิร์ฟเวอร์ถูกแฮ็คคือโค้ดนั้นใส่ลงในไฟล์ PHP ใด ๆ เพื่อตรวจสอบส่วนหัวของผู้อ้างอิง มาจากเครื่องมือค้นหาหรือหากมาจากที่ใดก็ตามไม่ใช่ไซต์ปัจจุบัน

สิ่งนี้ทำเพื่อพยายามป้องกันไม่ให้เจ้าของไซต์ทราบว่าแฮ็คอยู่ในสถานที่เนื่องจากคุณมักจะเยี่ยมชมไซต์โดยตรงแทนที่จะค้นหาผ่านทางเครื่องมือค้นหา


4
+1 สำหรับการอธิบาย "ทำไม" สมาร์ทสวย
BalusC

ขอบคุณคุณสามารถแนะนำวิธีติดตามและแก้ไขได้ ฉันควรเริ่มผ่านไฟล์ทั้งหมดในเว็บไซต์ของฉัน ขอบคุณ!
JD Isaacks

หากคุณมีการสำรองข้อมูลล่าสุด (หรือการควบคุมแหล่งที่มา) ใช้มัน :) มิฉะนั้นให้เริ่มดูไฟล์ที่แก้ไขล่าสุดไฟล์ที่แก้ไขโดยผู้ใช้เว็บเซิร์ฟเวอร์หรือไฟล์ที่มี "ผู้อ้างอิง" โอกาสที่รหัสจะอย่างน้อย obfuscated เบา ๆ ดังนั้นการค้นหาอาจไม่ทำงาน ถัดไปมองหาจุดเข้า - คุณไม่ต้องการเปิดทิ้งไว้ :) ฉันคิดว่าคุณกำลังใช้ PHP และการรวมที่ไม่ได้ตรวจสอบนั้นมีโอกาสมากที่สุด
Andrew Aylett

4

ก่อนอื่นนี้เป็นคำถามการเขียนโปรแกรมฉันไม่มีความคิดอย่างแน่นอนว่าสิ่งนี้ทำใน Serverfault

มีช่องโหว่ในเว็บแอปพลิเคชัน php ของคุณและคุณจำเป็นต้องค้นหาและแก้ไข ก่อนอื่นฉันต้องไปตรวจสอบให้แน่ใจว่าห้องสมุด PHP ทั้งหมดของคุณทันสมัย ช่องโหว่ใน phpmailer หรือ smarty สามารถทำให้แฮกเกอร์เจาะเข้าไปในเว็บไซต์ของคุณ

ต่อไปฉันจะสแกนไซต์ของคุณด้วยสิ่งต่าง ๆ เช่นAcunetix ($) หรือ NTOSpider ($$$) ทางเลือกที่ดีที่มาเปิดเป็นWapitiและw3af สแกนเนอร์เหล่านี้สามารถค้นหาช่องโหว่เช่นการใช้งานผิดประเภทeval()ซึ่งอาจนำไปสู่การโจมตีประเภทนี้

ถัดไปคุณควรจะลงล็อค PHP ใช้phpsecinfodisplay_errors=offให้แน่ใจว่า หากคุณมีแบ็กเอนด์ MySQL ให้ปิดการใช้งานfile_priv(สิทธิ์ของไฟล์) สำหรับบัญชี MySQL ที่ใช้โดย PHP

นี่เป็นแหล่งข้อมูลที่ดีสำหรับการเขียนโค้ด PHP ที่ปลอดภัย:

http://phpsec.org/library/

http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

นอกจากนี้หลีกเลี่ยง FTP เช่นภัยพิบัติมีเวิร์มหลายตัวแพร่กระจายในขณะนี้โดยการดมกลิ่นเครื่องท้องถิ่นของคุณสำหรับการเข้าสู่ระบบ FTP แล้วติดเชื้อในเว็บไซต์ของคุณ ตรวจสอบให้แน่ใจว่าคุณใช้โปรแกรมป้องกันไวรัสในทุกเครื่องที่สามารถเข้าถึงเซิร์ฟเวอร์ได้แม้ว่าจะเป็นเครื่องที่ฟรีอย่าง AVG ก็ตาม


Rook ข้อบกพร่องเริ่มต้นเกือบแน่นอนปัญหาการเขียนโปรแกรม แต่ถ้าเซิร์ฟเวอร์ติดตั้งและความปลอดภัยได้รับการแก้ไขอย่างเหมาะสมข้อบกพร่องของซอฟต์แวร์อาจไม่ถูกใช้ประโยชน์ ฉันยังสงสัยว่าคุณจะแน่ใจได้อย่างไร 100% ว่ามีข้อบกพร่องในซอฟต์แวร์ที่เขาพัฒนาขึ้นและไม่ได้อยู่ในการกำหนดค่าของระบบปฏิบัติการหรือเครื่องมืออื่น ๆ หากการสำรองข้อมูลที่ทำงานอย่างถูกต้องแล้ว 'แก้ไข' ปัญหาสามารถทำได้อย่างง่ายดายโดยการคืนค่าอย่างรวดเร็ว
Zoredache

@Zoredache ของคุณถูกต้องว่าปัญหาอาจมีปัญหากับการกำหนดค่าหรือช่องโหว่ในบริการอื่น อย่างไรก็ตามการหาช่องโหว่จำนวนมากทำงานโดยไม่คำนึงถึงการกำหนดค่าหรือการตั้งค่าความปลอดภัยเช่นการฉีด sql แม้กับ AppArmor และ SELinux ระบบก็ยังสามารถใช้ประโยชน์ได้ง่าย
โกง
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.