Коллеги, приветствую.
Столкнулся с такой проблемой.
Если в гугле в поисковой строке забить запрос на поиск страниц моего сайта вот такого вида site:subdomain1.mywebsite.com, то в выдаче помимо собственно страниц сайта выходят тысячи и тысячи результатов, ведущих на разные скамовые страницы. При этом гугл считает их моими.

Если в гугле кликнуть на такой результат поиска, то вначале открывается страница вида

https :// www .google.com/url?sa=t&source=web&rct=j&opi=89978449&url=https ://subdomain1.myvebsite.com/video/Will-JEPI-stock-enhance-shareholder-value&ved=2ahUKEwjuroyHosKRAxXxR_4FHcy3MMc4jAEQFnoECBYQAQ&usg=AOvVaw1uDsgCl33cTHFO71rjowoH

после чего происходит редирект на мой поддомен https://subdomain1.myvebsite.com/video/Will-JEPI-stock-enhance-shareholder-value
и затем сразу на какой-то левый домен, где после кучи редиректов открывается какой-нибудь левый сайт.
домен https://subdomain1.myvebsite.com существует, но выделенная жирным часть это уже не мое.
Если же я просто скопирую ссылку https://subdomain1.myvebsite.com/video/Will-JEPI-stock-enhance-shareholder-value
в адресную строку браузера, то, как и положено, выходит ошибка 404.

Все эти редиректы происходят только тогда, когда переходишь непосредственно по гугловской ссылке результатов поиска.
Еще момент, что вот эти несуществующие ссылки вида https://subdomain1.myvebsite.com/video/Will-JEPI-stock-enhance-shareholder-value отображаются в google search console и по ним даже клики считаются.
Все происходит очень быстро, не успеваю исследовать страницу, которая открывается после первого редиректа на моем домене.

В каком направлении хоть смотреть то?

Здравствуйте, NWP, Вы писали:

NWP>В каком направлении хоть смотреть то?

Судя по картине взломали кабинет регистратора либо DNS твоего домена. Создали сабдомен, смотрящий на их сервер и положили туда видео.

Смотришь кто управляет твоим DNS, куда делегирован твой домен, обычно это адреса в кабинете регистратора. Где-то в DNS должен быть прописан адрес сабдомена либо маска *.mywebsite.com на чужой айпи. Либо в кабинете регистратора DNS настроен на адреса, которые тебе неизвестны.

Лечится сменой паролей и установкой 2FA на эти два сервиса и удалением записи о сабдомене.

PS. Если это твой поддомен, но этого нет на твоем сайте, то взломан хостинг. Тут без понимания, как ты хостишься, гадать бессмысленно.

Здравствуйте, NWP, Вы писали:

NWP>В каком направлении хоть смотреть то?

Это классический SEO spam injection. Скорее всего на твоем сайте зловредный скрипт или конфиг (.htaccess)
Такие хаки отдают спам, только если referer=google, чтобы лучше замаскироваться.

В первую очередь проверить .htaccess
Во вторую сам сайт (файлы типа index.php)

Здравствуйте, bnk, Вы писали:

bnk>Здравствуйте, NWP, Вы писали:

NWP>>В каком направлении хоть смотреть то?

bnk>Это классический SEO spam injection. Скорее всего на твоем сайте зловредный скрипт или конфиг (.htaccess)
bnk>Такие хаки отдают спам, только если referer=google, чтобы лучше замаскироваться.

bnk>В первую очередь проверить .htaccess
bnk>Во вторую сам сайт (файлы типа index.php)

сайт asp.net
Конфиги проверил все вроде бы. Ничего не видно подозрительного.
Хостится сайт на своем VDS на IIS, как туда враги могли проникнуть, чтобы подменить какие-либо настройки...
поддоменом у меня несколько и на каждом из них одинаковое поведение. Как будто сломано что-то в самом IIS сразу для всего

Здравствуйте, Ziaw, Вы писали:

Z>Здравствуйте, NWP, Вы писали:

Z>Судя по картине взломали кабинет регистратора либо DNS твоего домена. Создали сабдомен, смотрящий на их сервер и положили туда видео.

В ДНС все нормально.

Z>PS. Если это твой поддомен, но этого нет на твоем сайте, то взломан хостинг. Тут без понимания, как ты хостишься, гадать бессмысленно.

Поддомен мой. Их несколько и на всех одинаковое поведение. Хостинг — свой VDS на винде. Сайт asp.net на IIS

Здравствуйте, NWP, Вы писали:

NWP>сайт asp.net
NWP>Конфиги проверил все вроде бы. Ничего не видно подозрительного.
NWP>Хостится сайт на своем VDS на IIS, как туда враги могли проникнуть, чтобы подменить какие-либо настройки...
NWP>поддоменом у меня несколько и на каждом из них одинаковое поведение. Как будто сломано что-то в самом IIS сразу для всего

web.config тогда? Вообще я бы попробовал тупо поиском по слову 'google'
Как протестировать — просто сделай запрос из командной строки (curl) с тем же заголовком referer что и google.

curl -e "www.google.com" https://subdomain1.myvebsite.com/video/Will-JEPI-stock-enhance-shareholder-value

Здравствуйте, bnk, Вы писали:

bnk>Как протестировать — просто сделай запрос из командной строки (curl) с тем же заголовком referer что и google.

bnk>

bnk>curl -e "www.google.com" https://subdomain1.myvebsite.com/video/Will-JEPI-stock-enhance-shareholder-value
bnk>

да с реферером воспроизводится.
Выходит такой html

<!- GP -->

<!DOCTYPE html>
<html>
<head>
<script>
window.location.href = 'https://j.bc-stock.top/index.html?v=K2gZwHB-5T04gHjAzQkLX05JRlW-wU6sGbQxw5OT6nk';
</script>
</head>
<body></body>
</html>
C:\Users\nwp>

А вот кто его генерит — не понимаю

Здравствуйте, NWP, Вы писали:

NWP>Здравствуйте, bnk, Вы писали:

bnk>>Как протестировать — просто сделай запрос из командной строки (curl) с тем же заголовком referer что и google.

bnk>>

bnk>>curl -e "www.google.com" https://subdomain1.myvebsite.com/video/Will-JEPI-stock-enhance-shareholder-value
bnk>>

NWP>да с реферером воспроизводится.
NWP>Выходит такой html

NWP>

NWP><!- GP -->

NWP> <!DOCTYPE html>
NWP> <html>
NWP> <head>
NWP> <script>
NWP> window.location.href = 'https://j.bc-stock.top/index.html?v=K2gZwHB-5T04gHjAzQkLX05JRlW-wU6sGbQxw5OT6nk';
NWP> </script>
NWP> </head>
NWP> <body></body>
NWP> </html>
NWP>C:\Users\nwp>

NWP>А вот кто его генерит — не понимаю

Ну так зловреды всегда стараются закопаться поглубже
Ты локально (на localhost) запустить сайт можешь? Или передеплоить его из репозитория наприме? Чтобы стереть все что есть и задеплоить с нуля?

Здравствуйте, NWP, Вы писали:

NWP>А вот кто его генерит — не понимаю

Точка входа. Файл который срабатывает первым при входе на https://subdomain1.myvebsite.com

Здравствуйте, NWP, Вы писали:

NWP>Поддомен мой. Их несколько и на всех одинаковое поведение. Хостинг — свой VDS на винде. Сайт asp.net на IIS

Логи IIS показывают переход по ссылкам? Скорее всего троян какой-то на твоей винде, обработчик в IIS зареган.

Гугловский ИИ:

Где искать вредоносный код (для ASP.NET/IIS):

Файл web.config: Проверьте секции <system.webServer>/<rewrite>/<rules>. Хакеры часто добавляют правила перенаправления, которые срабатывают только при наличии в HTTP_REFERER слова "google".

Файл Global.asax: Ищите подозрительный код в событиях Application_BeginRequest или Application_AcquireRequestState. Там может быть логика на C#, которая проверяет Request.UrlReferrer и делает Response.Redirect.

HTTP-модули и обработчики: Проверьте папку bin на наличие сторонних или недавно измененных .dll. Вредоносный код может быть скомпилирован в библиотеку, которая перехватывает все запросы.

Внедрение в мастер-страницы (MasterPages) или компоненты: Хакеры могут внедрить JavaScript-код (подобный тому, что вы указали в первом вопросе), который срабатывает на стороне клиента, проверяя document.referrer.

Параметры 404 ошибки: Проверьте настройки кастомных страниц ошибок в web.config (<customErrors> или <httpErrors>). Иногда вредоносный код прописывают именно в скрипт, обрабатывающий 404 ошибку, чтобы превратить несуществующие страницы в шлюзы для трафика.

Что делать в Google Search Console:

Не удаляйте страницы через "Удаление URL" — это временно и не лечит причину.
Как только вы удалите вредоносный код, убедитесь, что эти ссылки отдают честный код 404 Not Found.
После очистки Google постепенно сам удалит эти страницы из индекса, когда увидит, что они больше не ведут на спам. На это может уйти несколько недель.
Проверьте раздел «Безопасность и меры, принятые вручную» — там могут быть детали атаки.

Здравствуйте, temnik, Вы писали:

T>Файл web.config: Проверьте секции <system.webServer>/<rewrite>/<rules>. Хакеры часто добавляют правила перенаправления, которые срабатывают только при наличии в HTTP_REFERER слова "google".
чисто

T>Файл Global.asax: Ищите подозрительный код в событиях Application_BeginRequest или Application_AcquireRequestState. Там может быть логика на C#, которая проверяет Request.UrlReferrer и делает Response.Redirect.
чисто

T>HTTP-модули и обработчики: Проверьте папку bin на наличие сторонних или недавно измененных .dll. Вредоносный код может быть скомпилирован в библиотеку, которая перехватывает все запросы.
Тут сложно. Очень много модулей и не понятно что за что отвечает. Подозреваю, что где-то там.

T>Внедрение в мастер-страницы (MasterPages) или компоненты: Хакеры могут внедрить JavaScript-код (подобный тому, что вы указали в первом вопросе), который срабатывает на стороне клиента, проверяя document.referrer.
Точно не в коде страниц.

T>Параметры 404 ошибки: Проверьте настройки кастомных страниц ошибок в web.config (<customErrors> или <httpErrors>). Иногда вредоносный код прописывают именно в скрипт, обрабатывающий 404 ошибку, чтобы превратить несуществующие страницы в шлюзы для трафика.
чисто

Здравствуйте, bnk, Вы писали:

bnk>Ты локально (на localhost) запустить сайт можешь? Или передеплоить его из репозитория наприме? Чтобы стереть все что есть и задеплоить с нуля?

Передеплоил. Не в сайте дело. Где-то глобально стоит. Влияет на все сайты на этом сервере на разных поддоменах.

Здравствуйте, NWP, Вы писали:

Коллеги, а есть у кого-нибудь IIS развернутый? Сравнить список модулей. У меня там вроде-бы по-умолчанию все должно быть.
IIS, Windows Server 2012 R2

Здравствуйте, NWP, Вы писали:

NWP>Здравствуйте, bnk, Вы писали:

bnk>>Ты локально (на localhost) запустить сайт можешь? Или передеплоить его из репозитория наприме? Чтобы стереть все что есть и задеплоить с нуля?

NWP>Передеплоил. Не в сайте дело. Где-то глобально стоит. Влияет на все сайты на этом сервере на разных поддоменах.

Может глобальный web.config

NWP>В ДНС все нормально.

IP ping subdomain1.myvebsite.com = ping myvebsite.com?

Если VPS приостановить работу, их ссылка будет работать?

Здравствуйте, bnk, Вы писали:

bnk>Может глобальный web.config

Там тоже ничего подозрительного

Здравствуйте, TailWind, Вы писали:

TW>IP ping subdomain1.myvebsite.com = ping myvebsite.com?

да. subdomain1 — это мой валидный домен.

TW>Если VPS приостановить работу, их ссылка будет работать?
нет. Не будет. И если сайт или app pool приостановить, то тоже не работает.

Видно, что переход на их код срабатывает по шаблону. Subdomain не обязателен.

mydomain.com/blank/любой-текст
mydomain.com/video/любой-текст
переход на их код, а, например,
mydomain.com/testwtf/любой-текст уже дает 404

Здравствуйте, NWP, Вы писали:

bnk>>Может глобальный web.config

NWP>Там тоже ничего подозрительного

Ну какие конфиги там еще есть? machine.config?
https://learn.microsoft.com/en-us/previous-versions/aspnet/ms178685

Может тебе просто сделать новую чистую VPS? Или это долго?

Здравствуйте, bnk, Вы писали:

bnk>Может тебе просто сделать новую чистую VPS? Или это долго?
Это прям крайний случай.
Буду пробовать модули отрубать по одному и смотреть, что получится.

NWP>Тут сложно. Очень много модулей и не понятно что за что отвечает. Подозреваю, что где-то там.

Думаю, это как раз вряд ли. Скорее конфиги. Но можно закинуть список модулей в ИИ и спросить, нет ли подозрительных.

Здравствуйте, NWP, Вы писали:

NWP>В каком направлении хоть смотреть то?

Похоже, что чпокнули винду или сам IIS на уровне системы.

А у вас IIS прямо в интернет смотрит? Если что, то в винде, на мой взгляд, очень угрюмая реализация стека HTTP на уровне ядра (http.sys). Это дает производительность, но также создает широкое поле для уязвимостей. Поэтому IIS лучше никогда напрямую в интернет не выставлять, а доступ к нему обеспечивать через реверсивный HTTP прокси на Unix, используя nginx и подобные решения.

Здравствуйте, NWP, Вы писали:

NWP>IIS, Windows Server 2012 R2

Windows Server 2012 R2 — эта ОС снята с поддержки 10 октября 2023 года. Поэтому хакеры, по всей видимости, воспользовались незапатченной уязвимостью.

Единственный верный путь: сносить эту ОС, и переставлять ПО с дистрибутивов на более новые версии. Даже если вы найдете и удалите модуль, который отдает зловредный контент, это не гарантирует того, что ваша система не заражена по самые помидоры спящими бекдорами и дропперами.

Здравствуйте, NWP, Вы писали:

NWP>Здравствуйте, Ziaw, Вы писали:

Z>>Здравствуйте, NWP, Вы писали:

Z>>Судя по картине взломали кабинет регистратора либо DNS твоего домена. Создали сабдомен, смотрящий на их сервер и положили туда видео.

NWP>В ДНС все нормально.

"subdomain1.myvebsite.com" без соответсвующей DNS записи не будет доступен в принципе.

Если Вы эту запись не создавали, то кто-то её добавил за вас и это таки ДНС.

Если сабдомен Ваш, то взломали Ваш сервер.

Здравствуйте, NWP, Вы писали:

В общем рассказываю.
Хакеры каким-то образом, вероятно используя уязвимости в ИИС, смогли установить два нативных модуля IIS:
Scripts.dll и Caches.dll. Загрузка этих модулей была прописана в applicationHost.config
Антивирусы, кстати говоря, эти файлы не детектируют как вирусные. Но, зато, антивирус нашел в системной папке винды троян. К сожалению не записал его название.
Все три файла появились в одно время, как и модификация конфига. Все случилось в начале декабря.
На винду накатил последние обновления (там были KBшки от 24-года), но устранилась ли уязвимость = не понятно.
Ни каких сторонних приложений на сервер не ставилось уже лет 5 как. Поэтому негодяи проникли используя именно существующие уязвимости.

Печально это. Видимо придется поднимать второй сервер с последней виндой и переползать на него.

Здравствуйте, NWP, Вы писали:

NWP>Печально это. Видимо придется поднимать второй сервер с последней виндой и переползать на него.
https://rsdn.org/forum/shareware/9033309.1

Автор: Aquilaware
Дата: 17.12 03:50

послушай умного человека
(а лучше вали с винды совсем)