Il sito viene reindirizzato al negozio Viagra; tutti i soliti sospetti non rivelano nulla

48

Ho il sito di un cliente ( link ) che viene reindirizzato a un negozio di Viagra (mywifeishappy.com). Abbiamo esaminato tutti i soliti sospetti ma non siamo riusciti a trovare il colpevole che sta causando il reindirizzamento:

  • Per prima cosa abbiamo controllato tutti i file .htaccess; tutto pulito.
  • Robots.txt verificato; ancora, niente.
  • Controllo di tutti i 522 file PHP per codice dannoso (questo è un sito WordPress in esecuzione su RackSpace); abbiamo trovato una riga di codice con base64decode di codice nella tabella wp-options del sito. 76 esempi di ciò, che sono stati rimossi, con ancora nessuna gioia.
  • È andato a Google Webmaster per fare in modo che Google indicizzasse nuovamente il sito, nel caso in cui contenesse dati indicizzati errati sul sito; questo potrebbe richiedere un po 'di tempo.

Ciò che è strano è che quando accedo al sito tramite il suo URL diretto nei miei browser ( link ) lo vedo bene. Quando il cliente fa questo nel suo browser, il sito finisce al Viagra. E - quando entrambi "Google cambiano" e fanno clic sul link che Google restituisce nella sua SERP, il sito viene reindirizzato al negozio Viagra.

Chiunque abbia qualche idea a riguardo? Ho parlato con il supporto tecnico di RackSpace e non possono offrire alcuna idea; non vedono altre vulnerabilità nella configurazione di hosting. Il cliente è molto frustrato, come lo sono io.

    
posta Lew 25.04.2014 - 15:23
fonte

6 risposte

39

Ho notato che da una ricerca su Google, se prendo il referer (www.google.com) dalla richiesta web a changewise.biz, non viene reindirizzato al sito di spam.

Se non estraggo il referer, ottengo il sito dello spam (e le richieste successive lo ottengono sempre poiché è memorizzato nella cache del browser).

Quindi penso che non siano errori vecchi dati di Google, ma qualcosa nel tuo sito che guarda al referer.

Il tuo sito offre la seguente risposta http quando viene indicato da google.com:

HTTP/1.1 301 Moved Permanently
Server: Apache/2.2
Content-Type: text/html; charset=iso-8859-1
Date: Fri, 25 Apr 2014 14:10:26 GMT
Location: http://mywifeishappy.com/
Connection: Keep-Alive
Content-Length: 305

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://mywifeishappy.com/">here</a>.</p>
<hr>
<address>Apache/2.2 Server at www.changewise.biz Port 80</address>
</body></html>
    
risposta data 25.04.2014 - 15:56
fonte
23

Suggerirei che il tuo processo di apache stesso sia backdoor, perché anche l'accesso a pagine non esistenti con qualcosa come google \. nel referer viene reindirizzato. Per esempio. come

GET /this-page-does-not-exist/ HTTP/1.0
Host: www.changewise.biz
Referer: foobargoogle.

Cerca google per "referente di reindirizzamento backdoor di apache": troverai abbastanza segnalazioni di problemi simili. La migliore reazione sarebbe quella di arrestare immediatamente il server (per evitare che i clienti vengano infettati e quindi di salvare la tua reputazione) e installarlo di nuovo da un'origine che non risente della backdoor.

    
risposta data 25.04.2014 - 23:47
fonte
8

Ho avuto qualcosa di simile qualche mese fa. Risulta che il codice problematico era php nascosto in un file jpg nella cartella uploads.

Esamina i tuoi caricamenti (compresi i file con punti nascosti) ed esegui file su ciascuno di essi. assicurati che le pecore siano tutte pecore e non nascondendo un lupo.

    
risposta data 26.04.2014 - 04:04
fonte
3

Disattiva javascript e controlla se continui a essere reindirizzato:

1) Se continui a essere reindirizzato, il problema è nel codice lato server e sta generando un reindirizzamento (permanente e memorizzato dal browser del tuo cliente, forse).

2) Se non vieni reindirizzato, allora il problema è nel javascript che viene restituito - forse controlla la cache di javascript nel browser e assicurati che il sito sia pulito.

    
risposta data 25.04.2014 - 16:05
fonte
2

Prova a rinominare la directory public_html in public_html.bak o simile, quindi crea una nuova directory public_html nuova con una pagina html statica da testare.

Ciò dimostrerà se il problema si trova nel sito stesso o nel database, o se è il server Apache o la configurazione stessa a essere compromessa. Se quanto sopra non risolve il problema, la mia ipotesi sarebbe che la scatola di hosting stessa è compromessa.

Se quanto sopra non interrompe il reindirizzamento, lo ricostruirei con un nuovo wordpress installa e ripristina i dati.

    
risposta data 28.04.2014 - 01:22
fonte
2

Questo è sicuramente una specie di dirottamento dei referrer. Hai controllato i file .htaccess e il codice PHP, ma hai provato a decodificare il base64 trovato?

Quando il tuo docroot è pulito, potresti voler controllare il tuo server-config, e c'è ancora la possibilità di qualche tipo di apache / ebury / cdork rootkit , ma la mia prima ipotesi sarebbe:

  • alcuni PHP dannosi includono quelli che calcolano quei reindirizzamenti se Google viene trovato nell'intestazione del referrer
  • .htaccess manipolazione.

La tua versione di plugin per WordPress + è aggiornata? Esegui una specie di peste come PLESK o WMHC o altri software di gestione del server per amministrare il tuo server?

modifica:

se hai un backup pulito, esegui una diff per ogni file per trovare include dannosi 'N'stuff; spero tu abbia una copia del docroot "infetto"?

se qualcuno è in grado di modificare i tuoi file sul server, puoi anche trovare il vuln che porta al compromesso, altrimenti succederà di nuovo.

dovresti anche cercare strani crontabs per l'utente del webserver (come root: crontab -l -u $ webserver-user)

    
risposta data 25.04.2014 - 16:45
fonte

Leggi altre domande sui tag