내 사이트가 납치 된 것 같습니다… 다른 사이트를 방문했을 때만… 어떻게?

16

내 웹 사이트는 altoonadesign.com 입니다. 브라우저에 직접 입력하면 올바른 사이트로 이동합니다. 그러나 "altoona design"을 검색하고 내 사이트 링크를 클릭하면 악성 사이트로 리디렉션됩니다.

나는 크롬에서 구글과 IE에서 빙에서 이것을 시도했다. 다른 컴퓨터에서는 항상 같은 결과를 얻습니다. URL을 입력하면 내 실제 사이트로 바로 이동하고 검색 결과의 링크를 클릭하면 악성 사이트로 리디렉션됩니다.

어떻게 이런 일이 일어나고 있는지, 어떻게 취소하고, 앞으로 어떻게 방지 할 수 있는지 잘 모르겠습니다.

최신 정보

여기에서 링크를 클릭하면 악의적 인 사이트로 이동하므로 링크를 클릭하는 것이 링크 인 것처럼 보이지만 직접 입력하면 리디렉션되지 않습니다 ... 어떻게됩니까?

web  security 
JD Isaacks
소스

답변:

13

페이지의 소스를 볼 때 맨 아래에 넣지 않은 코드가 있습니다.

<div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/passware-myob-key-crack.html'>Passware MYOB Key crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/newstarsoccer-crack.html'>NewStarSoccer crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/pcsentinels-busted-crack.html'>PCSentinels Busted crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/3dmark2001-crack.html'>3DMark2001 crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/acdsee50powerpack-crack.html'>ACDSee50PowerPack crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://keygen-0day.ws/database/My%20TypeArtist%201.000B/'>My TypeArtist 1.000B</a></div></body> 
<!-- InstanceEnd --></html> 
<script>check_content()</script>check_content()</script>

피들러를 사용하고 Google을 통해 사이트에 액세스하면 도메인으로 먼저 이동 한 다음 전체 페이지가로드되기 전에 리디렉션됩니다.

PHP 코드를 확인하십시오. 아마 페이지에 리디렉션 코드를 넣었을 것입니다.

에드 B
소스
20

실제로 귀하의 링크를 따르지 않았지만 (제로 데이 악용을 만나고 싶지는 않습니다) 서버가 해킹 당했을 때 종종 발생하는 일은 코드가 PHP 파일에 넣어 리퍼러 헤더를 확인하고 방문 여부를 리디렉션하는 것입니다 검색 엔진에서 또는 현재 사이트가 아닌 곳에서 온 것입니다.

이것은 검색 엔진을 통해 사이트를 찾는 대신 사이트를 직접 방문하기 때문에 사이트 소유자가 해킹이 있음을 인식하지 못하도록하기 위해 수행됩니다.

앤드류 아이렛
소스
4
"이유"를 설명해 주신 +1 꽤 똑똑합니다.
BalusC
감사합니다. 추적하고 수정하는 방법을 추천 할 수 있습니다. 내 사이트의 모든 파일을 살펴보아야합니까? 감사!
JD Isaacks
최근 백업 (또는 소스 제어)이있는 경우이를 사용하십시오. :). 그렇지 않으면 최근 수정 된 파일, 웹 서버 사용자가 수정 한 파일 또는 "참조 자"가 포함 된 파일을 살펴보십시오. 코드가 약간 난독 화 될 가능성이 높으므로 검색이 제대로 작동하지 않을 수 있습니다. 다음으로 진입 점을 찾으십시오. 열리지 않으려면 :). PHP를 사용한다고 가정하고 확인되지 않은 포함이 가장 가능성이 높습니다.
Andrew Aylett
4

우선 이것은 프로그래밍 문제 입니다. 이것이 Serverfault에서 무엇을하는지 전혀 알 수 없습니다.

PHP 웹 응용 프로그램에 취약점이 있으므로 찾아서 패치해야합니다. 먼저 그래도 모든 PHP 라이브러리가 최신인지 확인하십시오. phpmailer 또는 smarty의 취약점으로 인해 해커가 사이트를 침입 할 수 있습니다.

다음으로 Acunetix ($) 또는 NTOSpider ($$$) 와 같은 것으로 사이트를 스캔합니다 . 좋은 오픈 소스 대안은 wapitiw3af 입니다. 이러한 스캐너는 오용과 같은 취약점으로 인해 이러한 eval()유형의 공격이 발생할 수 있습니다.

사용 PHP를 봉쇄해야 다음으로 phpsecinfo을 , 확인하십시오 display_errors=off. MySQL 백엔드가있는 경우 file_privPHP에서 사용하는 MySQL 계정에 대해 파일 권한 을 비활성화해야합니다 .

안전한 PHP 코드를 작성하기위한 좋은 자료는 다음과 같습니다.

http://phpsec.org/library/

http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

또한 전염병과 같은 FTP를 피하십시오. 현재 로컬 컴퓨터에서 FTP 로그인을 스니핑하여 사이트를 감염시켜 여러 웜이 확산되고 있습니다. 또한 AVG와 같이 무료 인 서버라도 서버에 액세스 할 수있는 모든 컴퓨터에서 바이러스 백신을 실행하고 있는지 확인하십시오.

사기꾼
소스
루크, 초기 결함은 거의 확실히 프로그래밍 문제입니다. 그러나 서버가 설정되고 보안이 제대로 강화 되었다면 소프트웨어 결함을 악용 할 수 없었을 것입니다. 또한 결함이 그가 개발 한 소프트웨어에 있는지, OS의 일부 구성 또는 다른 도구에 없는지 100 % 확신 할 수있는 방법이 궁금합니다. 백업이 제대로 실행되는 경우 빠른 수정으로 문제를 '수정'할 수 있습니다.
Zoredache
@Zoredache 문제는 구성 관련 문제이거나 다른 서비스의 취약점 일 수 있습니다. 그러나 많은 익스플로잇은 SQL 주입과 같은 구성 또는 보안 설정에 관계없이 작동합니다. AppArmor 및 SELinux를 사용해도 시스템을 쉽게 악용 할 수 있습니다.
Rook
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.