ToneR

Взломали и поставили редирект

27 posts in this topic

Всем привет! Прошу подсказать в какую сторону копать. Рассказываю ситуацию, сегодня перейдя по одному из своих проектов обнаружил, что происходит редирект на другой сайт, причем не важно с какой страницы, абсолютно все страницы редиректят. Ну стал думать, что делать.:blink: Решил для начала воспользоваться бекапом, но не тут то было, папка с бекапами удалена (тут у меня появилось предположение, что взломали фтп). Ну все по стандарту, изначально скачал всю папку с сайтом и начал искать все файлы htaccess - но они оказались совершенно чистыми. Ну тогда было предположение, что виновата тема вордпресс(ну часто именно туда и суют вредоносный код), снес ее - все же происходит редирект. :mellow:Тогда пояндексив узнал, что может быть вирус в базе mysql (в этом не шарю). Чтобы точно это проверить, создал тестовый домен установил вордпресс и подключил базу данных зараженного сайта, и действительно на новом домене произошел редирект. :D Далее, я подумал, отредактирую файл wp-config на зараженном сайте и изменю на другую базу данных для того чтобы убрать редирект, а завтра утром попробую исправить проблему. Проделав эти действия - редирект не пропал. :oСледовательно я подумал, зараза где-то в файлах движка вордпресс - ну взял и снес его(копия есть, если что восстановлю). Но редирект все так же работает. Есть еще предположение, что редирект происходит с помощью апач, но у меня доступа к нему нет (обычно хостинги не предоставляют).

Share this post


Link to post
Share on other sites

Я редирект на вп вот этой штукой отследил сниффер Wireshark

Им можно отследить все процессы и увидеть где срабатывает

у меня там сложная цепочка была)) справился

ToneR likes this

Share this post


Link to post
Share on other sites

а ДНС на Ваш адрес резолвит? может ищите проблему не там?

ToneR likes this

Share this post


Link to post
Share on other sites

ну и логи проверьте - попадают туда запросы или нет вообще..

ToneR likes this

Share this post


Link to post
Share on other sites
28 минут назад, wagan сказал:

Я редирект на вп вот этой штукой отследил сниффер Wireshark

:huh: Я один не понимаю чем мог помочь сниффер трафика?

 

ToneR likes this

Share this post


Link to post
Share on other sites
50 минут назад, wagan сказал:

Я редирект на вп вот этой штукой отследил сниффер Wireshark

Им можно отследить все процессы и увидеть где срабатывает

у меня там сложная цепочка была)) справился

 

17 минут назад, GUEVARA сказал:

просканируйте сайт скриптом ai-bolit, может найдет гадёныша

Не сработает, сайта просто нет, полностью удалил все папки, корневая директория сайта пустая но происходит редирект.

Share this post


Link to post
Share on other sites
36 минут назад, sda сказал:

а ДНС на Ваш адрес резолвит? может ищите проблему не там?

Тоже так подумал, проверил днс на хостинге все норм. Сейчас решил глянуть у регистратора домена и действительно все домены ссылаются на другие нс. В общем основная причина найдена. Благодарю всех за отклик) :)

Share this post


Link to post
Share on other sites
10 минут назад, ToneR сказал:

Тоже так подумал, проверил днс на хостинге все норм. Сейчас решил глянуть у регистратора домена и действительно все домены ссылаются на другие нс. В общем основная причина найдена. Благодарю всех за отклик) :)

Осталось узнать куда делась папка с бекапом

ToneR likes this

Share this post


Link to post
Share on other sites
Только что, zinalab сказал:

Осталось узнать куда делась папка с бекапом

+ почему при подключении к новому домену, базы данных с зараженного сайта происходил редирект, хотя на чистой все было нормально.

 

Share this post


Link to post
Share on other sites

Посмотрите в базе wp_posts.guid - там ваш домен?

Вас взломали и угнали домен, раз днс сменили, советую по быстрому все доступы поменять.

И да пациента в студию, возможно редирект будет найден

Ps посмотрите ещё wp_options: home_url и еще одно поле должно быть с адресом вашего сайта

ToneR likes this

Share this post


Link to post
Share on other sites

посмотри файл темы functions.php может там редирект стоит или update поля в базе на новый чпу

ToneR likes this

Share this post


Link to post
Share on other sites
2 часа назад, ToneR сказал:

Тоже так подумал, проверил днс на хостинге все норм. Сейчас решил глянуть у регистратора домена и действительно все домены ссылаются на другие нс. В общем основная причина найдена. Благодарю всех за отклик) :)

Прикольно однако. Если нс поменяли, то не редирект будет, а код 200. Но это фигня. Ты не думаешь, что взломали почту или комп

ToneR likes this

Share this post


Link to post
Share on other sites
Только что, petroff сказал:

Если нс поменяли, то не редирект будет, а код 200

Изначально тоже так думал. Получается, что все домены ссылаются на другие нски, следовательно хакер создает на своем хостинге мой список доменов и в каждой директории прописывает 301 редирект на нужный сайт. Поэтому и отдавался ответ 301. Сейчас все нски прописанные хакером, были зарегистрированы и теперь большинство сайтов идет с перенаправлением, уже поменял. Через пару часов посмотрю.

7 минут назад, petroff сказал:

Ты не думаешь, что взломали почту или комп

С почтой точно - нет, стоит двух факторная аутентификация, без моей смс вряд-ли получилось бы войти (если только не с моего компа - удаленно). Нельзя исключать и заражение компа, но за этим стараюсь следить, в автозагрузку ничего не прописывалось и нет процессов подозрительных.

Share this post


Link to post
Share on other sites

Больше чем уверен что регистратор домена был оформлен на какой нибудь ссаный майл или яндекс почту  )) , пользуйтесь гугл почтой с двойной аутентификацией и будет вам счастье. Тоже когда то ломали почту конченного яндекса и теперь я яшу использую только под спам хрумером, на большее это говно не годится.

Share this post


Link to post
Share on other sites
Только что, BROKER сказал:

Больше чем уверен что регистратор домена был оформлен на какой нибудь ссаный майл или яндекс почту  )) , пользуйтесь гугл почтой с двойной аутентификацией и будет вам счастье. Тоже когда то ломали почту конченного яндекса и теперь я яшу использую только под спам хрумером, на большее это говно не годится.

Ну тут не поспоришь. Есть некоторые неудобства в гугл почте. Но тут было бы не важно какая почта(используется как логин), скорее всего просто был подобран пароль к аккаунту регистратора. На почту никто не заходил с другого айпи, исключительно моя машина.

Share this post


Link to post
Share on other sites
2 минуты назад, vertas52 сказал:

Такое впечатление, что никто не читает ответы ТС.

 

Да мы просто одновременно с ним написали ))

ToneR likes this

Share this post


Link to post
Share on other sites
2 минуты назад, BROKER сказал:

 

Да мы просто одновременно с ним написали ))

да я и про ответы выше, где всё еще дают советы про файлы сайта, хотя проблема уже давно локализована, и ТС сам написал в чем и где проблема.

Share this post


Link to post
Share on other sites
1 минуту назад, ToneR сказал:

Ну тут не поспоришь. Есть некоторые неудобства в гугл почте. Но тут было бы не важно какая почта(используется как логин), скорее всего просто был подобран пароль к аккаунту регистратора. На почту никто не заходил с другого айпи, исключительно моя машина.

 

У меня вообще цирк был в реальном времени, мы просто тупо боролись за сайт с каким то ушлепком, не успею я поменять данные как он тут же опять же все изменял )) , но я тогда только начинал заниматься сайтами и много не знал еще.

Естественно пароль должен быть везде как минимум состоять из 25 символов и при чем это реально должна быть каша, так же нужно иметь почту в гугле, плюс нужно прятать вход в админку (делать фейковую страницу) и тогда быстрее солнце остынет чем кто то подберет пароль.

Share this post


Link to post
Share on other sites
2 минуты назад, BROKER сказал:

 

У меня вообще цирк был в реальном времени, мы просто тупо боролись за сайт с каким то ушлепком, не успею я поменять данные как он тут же опять же все изменял )) , но я тогда только начинал заниматься сайтами и много не знал еще.

Естественно пароль должен быть везде как минимум состоять из 25 символов и при чем это реально должна быть каша, так же нужно иметь почту в гугле, плюс нужно прятать вход в админку (делать фейковую страницу) и тогда быстрее солнце остынет чем кто то подберет пароль.

админку еще и через ,htaccess закрыть можно. как дополнительным паролем, так и фильтрацией ip

Share this post


Link to post
Share on other sites
1 минуту назад, vertas52 сказал:

админку еще и через ,htaccess закрыть можно. как дополнительным паролем, так и фильтрацией ip

Ну я не заморачиваюсь с этим, тупо разместил фейковый вход в админку по традиционному пути а рабочею форму делаю по другому пути и тут вообще без вариантов попасть в админ панель   )))

Share this post


Link to post
Share on other sites
Только что, BROKER сказал:

Ну я не заморачиваюсь с этим, тупо разместил фейковый вход в админку по традиционному пути а рабочею форму делаю по другому пути и тут вообще без вариантов попасть в админ панель   )))

Интересный способ) Никто и не подумает искать реальный адрес для авторизации в админке. Но чаще всего вордпресс ломают не через админку а через дыры.

Share this post


Link to post
Share on other sites
1 минуту назад, ToneR сказал:

Интересный способ) Никто и не подумает искать реальный адрес для авторизации в админке. Но чаще всего вордпресс ломают не через админку а через дыры.

Да это я так, к слову написал, я сам не пользуюсь вордпрессом, занимаюсь адалтом и этот движок явно не для этой ниши, я как то больше DLE люблю  ))

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.