我的站点似乎被劫持了……但是只有当从另一个站点访问时……如何?

16

如果您直接在浏览器中输入我的网站,则为altoonadesign.com,它将带您进入正确的网站。但是,如果您搜索“ altoona design”并单击指向我的网站的链接,则您将被重定向到恶意网站。

我在chrome上的google和IE上的bing中尝试了此方法。在不同的计算机上始终具有相同的结果。键入url直接将您带到我的真实站点,单击搜索结果中的链接会将您重定向到恶意站点。

我不确定这种情况如何发生,如何撤消或将来如何预防?

更新

单击此处的链接也会将您也带到恶意站点,因此单击链接似乎是它的作用,但是直接键入链接不会重定向您...这是怎么回事?

web  security 
JD伊萨克斯
source

Answers:

13

在查看页面源代码时,底部有一些代码看起来与您放置的代码不同:

<div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/passware-myob-key-crack.html'>Passware MYOB Key crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/newstarsoccer-crack.html'>NewStarSoccer crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/pcsentinels-busted-crack.html'>PCSentinels Busted crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/3dmark2001-crack.html'>3DMark2001 crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/acdsee50powerpack-crack.html'>ACDSee50PowerPack crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://keygen-0day.ws/database/My%20TypeArtist%201.000B/'>My TypeArtist 1.000B</a></div></body> 
<!-- InstanceEnd --></html> 
<script>check_content()</script>check_content()</script>

当使用小提琴手,并通过google访问您的网站时,我可以看到它确实进入了您的域1st,然后在整个页面加载之前被重定向。

检查您的php代码,它们可能在页面中放入了一些重定向代码。

乙乙
source
20

我实际上并没有遵循您的链接(不希望遇到零日攻击),但是当服务器被黑客入侵时,经常发生的情况是将代码放入任何PHP文件中以检查引荐来源标头,并在访问时进行重定向来自搜索引擎,或者来自当前网站以外的任何地方。

这样做是为了防止站点的所有者意识到已经存在该黑客,因为您通常可能会直接访问该站点,而不是通过搜索引擎进行查找。

安德鲁·艾利特
source
4
+1用于解释“为什么”。很聪明
BalusC 2010年
谢谢,可以建议我如何跟踪和修复它。我应该开始浏览网站上的所有文件吗?谢谢!
JD Isaacks
如果您有最近的备份(或源代码管理),请使用:)。否则,开始查看最近修改的文件,Web服务器用户修改的文件或包含“引荐来源网址”的文件。可能至少会稍微混淆代码,因此搜索可能无法正常进行。接下来,寻找入口点-您不想让它保持打开状态:)。我假设您使用的是PHP,并且很可能未经检查的包含。
Andrew Aylett 2010年
4

首先,这是一个编程问题,我完全不知道这对Serverfault的作用。

您的php Web应用程序中存在一个漏洞,您需要找到它并对其进行修补。首先,我要确保所有PHP库都是最新的。phpmailer或smarty中的漏洞可能使黑客入侵您的站点。

接下来,我将使用Acunetix($)或NTOSpider($$$)之类的东西扫描您的站点。wapitiw3af是一个很好的开源替代方案。这些扫描程序可以发现诸如滥用之类的漏洞eval(),可能导致此类攻击。

接下来,您应该使用phpsecinfo锁定php ,并确保display_errors=off。如果您有MySQL后端,请确保为file_privPHP使用的MySQL帐户禁用(文件特权)。

这里有一些很好的资源,可以用来编写安全的PHP代码:

http://phpsec.org/library/

http://www.owasp.org/index.php/类别:OWASP_Top_Ten_Project

还应避免像瘟疫一样使用FTP,现在通过嗅探您的本地计算机进行FTP登录,然后感染您的站点,有多种蠕虫传播。还要确保您在所有可以访问服务器的计算机上都运行防病毒软件,即使它只是像AVG这样的免费软件也是如此。


source
Rook,最初的缺陷几乎可以肯定是编程问题。但是,如果服务器已安装并且安全性得到了适当的加强,则该软件漏洞可能无法被利用。我也很好奇,您怎么能百分百确定漏洞是他开发的软件,而不是操作系统的某些配置或其他工具。如果备份正常运行,则可以通过快速还原轻松地“解决”问题。
Zoredache
@Zoredache您的权利是,该问题可能是配置问题或其他服务中的漏洞。但是,无论配置或安全设置如何(例如sql注入),许多漏洞利用都能起作用。即使使用AppArmor和SELinux,仍然可以轻松利用该系统。
Rook
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.