私のサイトはハイジャックされているように見えますが、別のサイトからアクセスした場合にのみ...方法は?

16

私のウェブサイトはaltoonadesign.comです。ブラウザに直接入力すると、正しいサイトに移動します。ただし、「altoona design」を検索して私のサイトへのリンクをクリックすると、悪意のあるサイトにリダイレクトされます。

私はこれをChromeのgoogleとIEのbingで試しました。常に同じ結果の異なるコンピューター上で。URLを直接入力すると、実際のサイトに移動し、検索結果のリンクをクリックすると、悪意のあるサイトにリダイレクトされます。

これがどのように起こっているのか、どのように取り消すのか、将来どのように防ぐのかはわかりません。

更新

ここからリンクをクリックすると、悪意のあるサイトにも移動するため、リンクをクリックすることでそれが行われますが、直接入力してもリダイレクトされません...どうですか?

web  security 
JDアイザックス
ソース

回答:

13

ページのソースを表示するとき、下にあるコードは、そこに置いたようには見えません。

<div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/passware-myob-key-crack.html'>Passware MYOB Key crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/newstarsoccer-crack.html'>NewStarSoccer crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/pcsentinels-busted-crack.html'>PCSentinels Busted crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/3dmark2001-crack.html'>3DMark2001 crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/acdsee50powerpack-crack.html'>ACDSee50PowerPack crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://keygen-0day.ws/database/My%20TypeArtist%201.000B/'>My TypeArtist 1.000B</a></div></body> 
<!-- InstanceEnd --></html> 
<script>check_content()</script>check_content()</script>

フィドラーを使用し、Google経由でサイトにアクセスすると、最初にドメインに移動し、ページ全体が読み込まれる前にリダイレクトされることがわかります。

PHPコードを確認してください。ページにリダイレクトコードを挿入している可能性があります。

エド・B
ソース
20

私は実際にあなたのリンクをたどりませんでした(ゼロデイエクスプロイトに会いたくありません)が、サーバーがハッキングされたときによく起こることは、コードがPHPファイルに入れられてリファラーヘッダーをチェックし、検索エンジンからのものであるか、現在のサイト以外の場所からのものである場合。

これは、サイトの所有者がハッキングが行われていることに気付かないようにするために行われます。これは、通常、検索エンジンでサイトを見つけるのではなく、直接サイトにアクセスするためです。

アンドリュー・エイレット
ソース
4
「理由」を説明するための+1。かなり賢い。
BalusC
ありがとう、私はそれを追跡して修正する方法をお勧めできます。自分のサイト上のすべてのファイルを調べ始める必要がありますか?ありがとう!
JDアイザックス
最新のバックアップ(またはソース管理)がある場合は、それを使用します:)。そうでない場合は、最近変更されたファイル、ウェブサーバーのユーザーによって変更されたファイル、または「リファラー」を含むファイルの検索を開始します。ただし、コードが少なくとも少し難読化される可能性があるため、検索がうまく機能しない可能性があります。次に、エントリポイントを探します-開いたままにしたくない場合:)。私はあなたがPHPを使用していると仮定し、チェックされていないインクルードが最も可能性が高いです。
アンドリューエイレット
4

まず第一に、これはプログラミングの質問、私はこれはServerFaultの上でやっているいただきました!絶対にないアイデアを持っていません。

PHP Webアプリケーションに脆弱性があり、それを見つけてパッチを適用する必要があります。最初に行って、すべてのPHPライブラリが最新であることを確認します。phpmailerまたはsmartyの脆弱性により、ハッカーがサイトに侵入する可能性があります。

次に、Acunetix($)やNTOSpider($$$)のようなものでサイトをスキャンします。優れたオープンソースの代替手段はwapitiw3afです。これらのスキャナーはeval()、この種の攻撃につながる可能性のある悪用などの脆弱性を見つけることができます。

次に、phpsecinfoを使用してphpをロックダウンする必要がありdisplay_errors=offます。MySQLバックエンドを使用している場合は、file_privPHPで使用されるMySQLアカウントの(ファイル特権)を必ず無効にしてください。

安全なPHPコードを作成するための優れたリソースを次に示します。

http://phpsec.org/library/

http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

また、疫病のようなFTPを避けてください。FTPログインのためにローカルマシンをスニッフィングしてからサイトに感染することにより、現在複数のワームが拡散しています。また、AVGのような無料のマシンであっても、サーバーにアクセスできるすべてのマシンでアンチウイルスを実行していることを確認してください。

ルーク
ソース
ルーク、最初の欠陥はほぼ間違いなくプログラミングの問題です。しかし、サーバーがセットアップされ、セキュリティが適切に強化されていれば、ソフトウェアの欠陥は悪用できなかったでしょう。また、彼が開発したソフトウェアに欠陥があることを100%確信できるかどうか、OSやその他のツールの構成には興味がないことにも興味があります。バックアップが適切に実行されている場合、問題を「修正」することは、迅速な復元によって簡単に達成できます。
ゾレダチェ
@Zoredacheは、問題が構成の問題または別のサービスの脆弱性である可能性があるというあなたの権利です。ただし、多くのエクスプロイトは、SQLインジェクションなどの構成またはセキュリティ設定に関係なく機能します。AppArmorとSELinuxを使用しても、システムを簡単に悪用できます。
ルーク
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.