Jump to content

Взломали и поставили редирект


Recommended Posts

Всем привет! Прошу подсказать в какую сторону копать. Рассказываю ситуацию, сегодня перейдя по одному из своих проектов обнаружил, что происходит редирект на другой сайт, причем не важно с какой страницы, абсолютно все страницы редиректят. Ну стал думать, что делать.:blink: Решил для начала воспользоваться бекапом, но не тут то было, папка с бекапами удалена (тут у меня появилось предположение, что взломали фтп). Ну все по стандарту, изначально скачал всю папку с сайтом и начал искать все файлы htaccess - но они оказались совершенно чистыми. Ну тогда было предположение, что виновата тема вордпресс(ну часто именно туда и суют вредоносный код), снес ее - все же происходит редирект. :mellow:Тогда пояндексив узнал, что может быть вирус в базе mysql (в этом не шарю). Чтобы точно это проверить, создал тестовый домен установил вордпресс и подключил базу данных зараженного сайта, и действительно на новом домене произошел редирект. :D Далее, я подумал, отредактирую файл wp-config на зараженном сайте и изменю на другую базу данных для того чтобы убрать редирект, а завтра утром попробую исправить проблему. Проделав эти действия - редирект не пропал. :oСледовательно я подумал, зараза где-то в файлах движка вордпресс - ну взял и снес его(копия есть, если что восстановлю). Но редирект все так же работает. Есть еще предположение, что редирект происходит с помощью апач, но у меня доступа к нему нет (обычно хостинги не предоставляют).

Link to post
Share on other sites

Есть вопрос? Задай его профессиональным веб-мастерам, SEO и другим специалистам!

50 минут назад, wagan сказал:

Я редирект на вп вот этой штукой отследил сниффер Wireshark

Им можно отследить все процессы и увидеть где срабатывает

у меня там сложная цепочка была)) справился

 

17 минут назад, GUEVARA сказал:

просканируйте сайт скриптом ai-bolit, может найдет гадёныша

Не сработает, сайта просто нет, полностью удалил все папки, корневая директория сайта пустая но происходит редирект.

Link to post
Share on other sites
36 минут назад, sda сказал:

а ДНС на Ваш адрес резолвит? может ищите проблему не там?

Тоже так подумал, проверил днс на хостинге все норм. Сейчас решил глянуть у регистратора домена и действительно все домены ссылаются на другие нс. В общем основная причина найдена. Благодарю всех за отклик) :)

Link to post
Share on other sites
10 минут назад, ToneR сказал:

Тоже так подумал, проверил днс на хостинге все норм. Сейчас решил глянуть у регистратора домена и действительно все домены ссылаются на другие нс. В общем основная причина найдена. Благодарю всех за отклик) :)

Осталось узнать куда делась папка с бекапом

Link to post
Share on other sites
Только что, zinalab сказал:

Осталось узнать куда делась папка с бекапом

+ почему при подключении к новому домену, базы данных с зараженного сайта происходил редирект, хотя на чистой все было нормально.

 

Link to post
Share on other sites

Посмотрите в базе wp_posts.guid - там ваш домен?

Вас взломали и угнали домен, раз днс сменили, советую по быстрому все доступы поменять.

И да пациента в студию, возможно редирект будет найден

Ps посмотрите ещё wp_options: home_url и еще одно поле должно быть с адресом вашего сайта

Link to post
Share on other sites
2 часа назад, ToneR сказал:

Тоже так подумал, проверил днс на хостинге все норм. Сейчас решил глянуть у регистратора домена и действительно все домены ссылаются на другие нс. В общем основная причина найдена. Благодарю всех за отклик) :)

Прикольно однако. Если нс поменяли, то не редирект будет, а код 200. Но это фигня. Ты не думаешь, что взломали почту или комп

Link to post
Share on other sites
Только что, petroff сказал:

Если нс поменяли, то не редирект будет, а код 200

Изначально тоже так думал. Получается, что все домены ссылаются на другие нски, следовательно хакер создает на своем хостинге мой список доменов и в каждой директории прописывает 301 редирект на нужный сайт. Поэтому и отдавался ответ 301. Сейчас все нски прописанные хакером, были зарегистрированы и теперь большинство сайтов идет с перенаправлением, уже поменял. Через пару часов посмотрю.

7 минут назад, petroff сказал:

Ты не думаешь, что взломали почту или комп

С почтой точно - нет, стоит двух факторная аутентификация, без моей смс вряд-ли получилось бы войти (если только не с моего компа - удаленно). Нельзя исключать и заражение компа, но за этим стараюсь следить, в автозагрузку ничего не прописывалось и нет процессов подозрительных.

Link to post
Share on other sites

Больше чем уверен что регистратор домена был оформлен на какой нибудь ссаный майл или яндекс почту  )) , пользуйтесь гугл почтой с двойной аутентификацией и будет вам счастье. Тоже когда то ломали почту конченного яндекса и теперь я яшу использую только под спам хрумером, на большее это говно не годится.

Link to post
Share on other sites
Только что, BROKER сказал:

Больше чем уверен что регистратор домена был оформлен на какой нибудь ссаный майл или яндекс почту  )) , пользуйтесь гугл почтой с двойной аутентификацией и будет вам счастье. Тоже когда то ломали почту конченного яндекса и теперь я яшу использую только под спам хрумером, на большее это говно не годится.

Ну тут не поспоришь. Есть некоторые неудобства в гугл почте. Но тут было бы не важно какая почта(используется как логин), скорее всего просто был подобран пароль к аккаунту регистратора. На почту никто не заходил с другого айпи, исключительно моя машина.

Link to post
Share on other sites
2 минуты назад, BROKER сказал:

 

Да мы просто одновременно с ним написали ))

да я и про ответы выше, где всё еще дают советы про файлы сайта, хотя проблема уже давно локализована, и ТС сам написал в чем и где проблема.

Link to post
Share on other sites
1 минуту назад, ToneR сказал:

Ну тут не поспоришь. Есть некоторые неудобства в гугл почте. Но тут было бы не важно какая почта(используется как логин), скорее всего просто был подобран пароль к аккаунту регистратора. На почту никто не заходил с другого айпи, исключительно моя машина.

 

У меня вообще цирк был в реальном времени, мы просто тупо боролись за сайт с каким то ушлепком, не успею я поменять данные как он тут же опять же все изменял )) , но я тогда только начинал заниматься сайтами и много не знал еще.

Естественно пароль должен быть везде как минимум состоять из 25 символов и при чем это реально должна быть каша, так же нужно иметь почту в гугле, плюс нужно прятать вход в админку (делать фейковую страницу) и тогда быстрее солнце остынет чем кто то подберет пароль.

Link to post
Share on other sites
2 минуты назад, BROKER сказал:

 

У меня вообще цирк был в реальном времени, мы просто тупо боролись за сайт с каким то ушлепком, не успею я поменять данные как он тут же опять же все изменял )) , но я тогда только начинал заниматься сайтами и много не знал еще.

Естественно пароль должен быть везде как минимум состоять из 25 символов и при чем это реально должна быть каша, так же нужно иметь почту в гугле, плюс нужно прятать вход в админку (делать фейковую страницу) и тогда быстрее солнце остынет чем кто то подберет пароль.

админку еще и через ,htaccess закрыть можно. как дополнительным паролем, так и фильтрацией ip

Link to post
Share on other sites
1 минуту назад, vertas52 сказал:

админку еще и через ,htaccess закрыть можно. как дополнительным паролем, так и фильтрацией ip

Ну я не заморачиваюсь с этим, тупо разместил фейковый вход в админку по традиционному пути а рабочею форму делаю по другому пути и тут вообще без вариантов попасть в админ панель   )))

Link to post
Share on other sites
Только что, BROKER сказал:

Ну я не заморачиваюсь с этим, тупо разместил фейковый вход в админку по традиционному пути а рабочею форму делаю по другому пути и тут вообще без вариантов попасть в админ панель   )))

Интересный способ) Никто и не подумает искать реальный адрес для авторизации в админке. Но чаще всего вордпресс ломают не через админку а через дыры.

Link to post
Share on other sites
1 минуту назад, ToneR сказал:

Интересный способ) Никто и не подумает искать реальный адрес для авторизации в админке. Но чаще всего вордпресс ломают не через админку а через дыры.

Да это я так, к слову написал, я сам не пользуюсь вордпрессом, занимаюсь адалтом и этот движок явно не для этой ниши, я как то больше DLE люблю  ))

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...