[server] 내 사이트가 납치 된 것 같습니다… 다른 사이트를 방문했을 때만… 어떻게?

Server / 글쓴이

내 웹 사이트는 altoonadesign.com 입니다. 브라우저에 직접 입력하면 올바른 사이트로 이동합니다. 그러나 “altoona design”을 검색하고 내 사이트 링크를 클릭하면 악성 사이트로 리디렉션됩니다.

나는 크롬에서 구글과 IE에서 빙에서 이것을 시도했다. 다른 컴퓨터에서는 항상 같은 결과를 얻습니다. URL을 입력하면 내 실제 사이트로 바로 이동하고 검색 결과의 링크를 클릭하면 악성 사이트로 리디렉션됩니다.

어떻게 이런 일이 일어나고 있는지, 어떻게 취소하고, 앞으로 어떻게 방지 할 수 있는지 잘 모르겠습니다.

최신 정보

여기에서 링크를 클릭하면 악의적 인 사이트로 이동하므로 링크를 클릭하는 것이 링크 인 것처럼 보이지만 직접 입력하면 리디렉션되지 않습니다 … 어떻게됩니까?

답변

페이지의 소스를 볼 때 맨 아래에 넣지 않은 코드가 있습니다.

<div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/passware-myob-key-crack.html'>Passware MYOB Key crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/newstarsoccer-crack.html'>NewStarSoccer crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/pcsentinels-busted-crack.html'>PCSentinels Busted crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/3dmark2001-crack.html'>3DMark2001 crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://www.asrtu.org/trust_crcks/acdsee50powerpack-crack.html'>ACDSee50PowerPack crack</a></div><div style='position:absolute;left:-2125px;width:1024px'><a href='http://keygen-0day.ws/database/My%20TypeArtist%201.000B/'>My TypeArtist 1.000B</a></div></body>
<!-- InstanceEnd --></html>
<script>check_content()</script>check_content()</script>

피들러를 사용하고 Google을 통해 사이트에 액세스하면 도메인으로 먼저 이동 한 다음 전체 페이지가로드되기 전에 리디렉션됩니다.

PHP 코드를 확인하십시오. 아마 페이지에 리디렉션 코드를 넣었을 것입니다.

답변

실제로 귀하의 링크를 따르지 않았지만 (제로 데이 악용을 만나고 싶지는 않습니다) 서버가 해킹 당했을 때 종종 발생하는 일은 코드가 PHP 파일에 넣어 리퍼러 헤더를 확인하고 방문 여부를 리디렉션하는 것입니다 검색 엔진에서 또는 현재 사이트가 아닌 곳에서 온 것입니다.

이것은 검색 엔진을 통해 사이트를 찾는 대신 사이트를 직접 방문하기 때문에 사이트 소유자가 해킹이 있음을 인식하지 못하도록하기 위해 수행됩니다.

답변

우선 이것은 프로그래밍 문제 입니다. 이것이 Serverfault에서 무엇을하는지 전혀 알 수 없습니다.

PHP 웹 응용 프로그램에 취약점이 있으므로 찾아서 패치해야합니다. 먼저 그래도 모든 PHP 라이브러리가 최신인지 확인하십시오. phpmailer 또는 smarty의 취약점으로 인해 해커가 사이트를 침입 할 수 있습니다.

다음으로 Acunetix ($) 또는 NTOSpider ($$$) 와 같은 것으로 사이트를 스캔합니다 . 좋은 오픈 소스 대안은 wapitiw3af 입니다. 이러한 스캐너는 오용과 같은 취약점으로 인해 이러한 eval()유형의 공격이 발생할 수 있습니다.

사용 PHP를 봉쇄해야 다음으로 phpsecinfo을 , 확인하십시오 display_errors=off. MySQL 백엔드가있는 경우 file_privPHP에서 사용하는 MySQL 계정에 대해 파일 권한 을 비활성화해야합니다 .

안전한 PHP 코드를 작성하기위한 좋은 자료는 다음과 같습니다.

http://phpsec.org/library/

http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

또한 전염병과 같은 FTP를 피하십시오. 현재 로컬 컴퓨터에서 FTP 로그인을 스니핑하여 사이트를 감염시켜 여러 웜이 확산되고 있습니다. 또한 AVG와 같이 무료 인 서버라도 서버에 액세스 할 수있는 모든 컴퓨터에서 바이러스 백신을 실행하고 있는지 확인하십시오.

답변