ToneR

Взломали и поставили редирект

27 сообщений в этой теме

Всем привет! Прошу подсказать в какую сторону копать. Рассказываю ситуацию, сегодня перейдя по одному из своих проектов обнаружил, что происходит редирект на другой сайт, причем не важно с какой страницы, абсолютно все страницы редиректят. Ну стал думать, что делать.:blink: Решил для начала воспользоваться бекапом, но не тут то было, папка с бекапами удалена (тут у меня появилось предположение, что взломали фтп). Ну все по стандарту, изначально скачал всю папку с сайтом и начал искать все файлы htaccess - но они оказались совершенно чистыми. Ну тогда было предположение, что виновата тема вордпресс(ну часто именно туда и суют вредоносный код), снес ее - все же происходит редирект. :mellow:Тогда пояндексив узнал, что может быть вирус в базе mysql (в этом не шарю). Чтобы точно это проверить, создал тестовый домен установил вордпресс и подключил базу данных зараженного сайта, и действительно на новом домене произошел редирект. :D Далее, я подумал, отредактирую файл wp-config на зараженном сайте и изменю на другую базу данных для того чтобы убрать редирект, а завтра утром попробую исправить проблему. Проделав эти действия - редирект не пропал. :oСледовательно я подумал, зараза где-то в файлах движка вордпресс - ну взял и снес его(копия есть, если что восстановлю). Но редирект все так же работает. Есть еще предположение, что редирект происходит с помощью апач, но у меня доступа к нему нет (обычно хостинги не предоставляют).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я редирект на вп вот этой штукой отследил сниффер Wireshark

Им можно отследить все процессы и увидеть где срабатывает

у меня там сложная цепочка была)) справился

ToneR понравилось это

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а ДНС на Ваш адрес резолвит? может ищите проблему не там?

ToneR понравилось это

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну и логи проверьте - попадают туда запросы или нет вообще..

ToneR понравилось это

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
28 минут назад, wagan сказал:

Я редирект на вп вот этой штукой отследил сниффер Wireshark

:huh: Я один не понимаю чем мог помочь сниффер трафика?

 

ToneR понравилось это

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

просканируйте сайт скриптом ai-bolit, может найдет гадёныша

ToneR понравилось это

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
50 минут назад, wagan сказал:

Я редирект на вп вот этой штукой отследил сниффер Wireshark

Им можно отследить все процессы и увидеть где срабатывает

у меня там сложная цепочка была)) справился

 

17 минут назад, GUEVARA сказал:

просканируйте сайт скриптом ai-bolit, может найдет гадёныша

Не сработает, сайта просто нет, полностью удалил все папки, корневая директория сайта пустая но происходит редирект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
36 минут назад, sda сказал:

а ДНС на Ваш адрес резолвит? может ищите проблему не там?

Тоже так подумал, проверил днс на хостинге все норм. Сейчас решил глянуть у регистратора домена и действительно все домены ссылаются на другие нс. В общем основная причина найдена. Благодарю всех за отклик) :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
10 минут назад, ToneR сказал:

Тоже так подумал, проверил днс на хостинге все норм. Сейчас решил глянуть у регистратора домена и действительно все домены ссылаются на другие нс. В общем основная причина найдена. Благодарю всех за отклик) :)

Осталось узнать куда делась папка с бекапом

ToneR понравилось это

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, zinalab сказал:

Осталось узнать куда делась папка с бекапом

+ почему при подключении к новому домену, базы данных с зараженного сайта происходил редирект, хотя на чистой все было нормально.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Посмотрите в базе wp_posts.guid - там ваш домен?

Вас взломали и угнали домен, раз днс сменили, советую по быстрому все доступы поменять.

И да пациента в студию, возможно редирект будет найден

Ps посмотрите ещё wp_options: home_url и еще одно поле должно быть с адресом вашего сайта

ToneR понравилось это

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

посмотри файл темы functions.php может там редирект стоит или update поля в базе на новый чпу

ToneR понравилось это

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, ToneR сказал:

Тоже так подумал, проверил днс на хостинге все норм. Сейчас решил глянуть у регистратора домена и действительно все домены ссылаются на другие нс. В общем основная причина найдена. Благодарю всех за отклик) :)

Прикольно однако. Если нс поменяли, то не редирект будет, а код 200. Но это фигня. Ты не думаешь, что взломали почту или комп

ToneR понравилось это

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, petroff сказал:

Если нс поменяли, то не редирект будет, а код 200

Изначально тоже так думал. Получается, что все домены ссылаются на другие нски, следовательно хакер создает на своем хостинге мой список доменов и в каждой директории прописывает 301 редирект на нужный сайт. Поэтому и отдавался ответ 301. Сейчас все нски прописанные хакером, были зарегистрированы и теперь большинство сайтов идет с перенаправлением, уже поменял. Через пару часов посмотрю.

7 минут назад, petroff сказал:

Ты не думаешь, что взломали почту или комп

С почтой точно - нет, стоит двух факторная аутентификация, без моей смс вряд-ли получилось бы войти (если только не с моего компа - удаленно). Нельзя исключать и заражение компа, но за этим стараюсь следить, в автозагрузку ничего не прописывалось и нет процессов подозрительных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Больше чем уверен что регистратор домена был оформлен на какой нибудь ссаный майл или яндекс почту  )) , пользуйтесь гугл почтой с двойной аутентификацией и будет вам счастье. Тоже когда то ломали почту конченного яндекса и теперь я яшу использую только под спам хрумером, на большее это говно не годится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Такое впечатление, что никто не читает ответы ТС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, BROKER сказал:

Больше чем уверен что регистратор домена был оформлен на какой нибудь ссаный майл или яндекс почту  )) , пользуйтесь гугл почтой с двойной аутентификацией и будет вам счастье. Тоже когда то ломали почту конченного яндекса и теперь я яшу использую только под спам хрумером, на большее это говно не годится.

Ну тут не поспоришь. Есть некоторые неудобства в гугл почте. Но тут было бы не важно какая почта(используется как логин), скорее всего просто был подобран пароль к аккаунту регистратора. На почту никто не заходил с другого айпи, исключительно моя машина.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 минуты назад, vertas52 сказал:

Такое впечатление, что никто не читает ответы ТС.

 

Да мы просто одновременно с ним написали ))

ToneR понравилось это

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 минуты назад, BROKER сказал:

 

Да мы просто одновременно с ним написали ))

да я и про ответы выше, где всё еще дают советы про файлы сайта, хотя проблема уже давно локализована, и ТС сам написал в чем и где проблема.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, ToneR сказал:

Ну тут не поспоришь. Есть некоторые неудобства в гугл почте. Но тут было бы не важно какая почта(используется как логин), скорее всего просто был подобран пароль к аккаунту регистратора. На почту никто не заходил с другого айпи, исключительно моя машина.

 

У меня вообще цирк был в реальном времени, мы просто тупо боролись за сайт с каким то ушлепком, не успею я поменять данные как он тут же опять же все изменял )) , но я тогда только начинал заниматься сайтами и много не знал еще.

Естественно пароль должен быть везде как минимум состоять из 25 символов и при чем это реально должна быть каша, так же нужно иметь почту в гугле, плюс нужно прятать вход в админку (делать фейковую страницу) и тогда быстрее солнце остынет чем кто то подберет пароль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 минуты назад, BROKER сказал:

 

У меня вообще цирк был в реальном времени, мы просто тупо боролись за сайт с каким то ушлепком, не успею я поменять данные как он тут же опять же все изменял )) , но я тогда только начинал заниматься сайтами и много не знал еще.

Естественно пароль должен быть везде как минимум состоять из 25 символов и при чем это реально должна быть каша, так же нужно иметь почту в гугле, плюс нужно прятать вход в админку (делать фейковую страницу) и тогда быстрее солнце остынет чем кто то подберет пароль.

админку еще и через ,htaccess закрыть можно. как дополнительным паролем, так и фильтрацией ip

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, vertas52 сказал:

админку еще и через ,htaccess закрыть можно. как дополнительным паролем, так и фильтрацией ip

Ну я не заморачиваюсь с этим, тупо разместил фейковый вход в админку по традиционному пути а рабочею форму делаю по другому пути и тут вообще без вариантов попасть в админ панель   )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, BROKER сказал:

Ну я не заморачиваюсь с этим, тупо разместил фейковый вход в админку по традиционному пути а рабочею форму делаю по другому пути и тут вообще без вариантов попасть в админ панель   )))

Интересный способ) Никто и не подумает искать реальный адрес для авторизации в админке. Но чаще всего вордпресс ломают не через админку а через дыры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, ToneR сказал:

Интересный способ) Никто и не подумает искать реальный адрес для авторизации в админке. Но чаще всего вордпресс ломают не через админку а через дыры.

Да это я так, к слову написал, я сам не пользуюсь вордпрессом, занимаюсь адалтом и этот движок явно не для этой ниши, я как то больше DLE люблю  ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!


Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.


Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу