it-swarm.com.de

Die Website wird an den Viagra Store weitergeleitet. Alle üblichen Verdächtigen tauchen nichts auf

Ich habe die Website eines Kunden ( http://changewise.biz ), die an einen Viagra-Shop (mywifeishappy.com) weitergeleitet wird. Wir haben alle üblichen Verdächtigen durchgesehen, können aber den Schuldigen, der die Umleitung verursacht, nicht finden:

  • Als erstes haben wir alle .htaccess-Dateien überprüft. alles sauber.
  • Checked robots.txt; wieder nichts.
  • Überprüfte alle 522 PHP -Dateien auf schädlichen Code (dies ist eine WordPress -Site, die bei RackSpace ausgeführt wird); wir haben eine Codezeile mit einem base64decode Eines Codes in der Tabelle wp-options Der Site. 76 Instanzen davon, die alle entfernt wurden, ohne Freude.
  • Ging zu Google Webmasters, damit Google die Website neu indiziert, falls fehlerhafte Indexdaten über die Website gespeichert sind. das kann eine Weile dauern.

Was seltsam ist, ist, dass ich es gut sehe, wenn ich über die direkte URL in meinen Browsern ( http://changewise.biz ) auf die Site zugreife. Wenn der Kunde dies in seinen Browsern tut, landet die Site bei Viagra. Und - wenn wir beide Google "changewise" und auf den Link klicken, den Google in seinem SERP zurückgibt, wird die Website zum Viagra-Store weitergeleitet.

Hat jemand irgendwelche Ideen dazu? Ich habe mit dem technischen Support von RackSpace gesprochen und sie können keine Ideen anbieten. Sie sehen keine anderen Schwachstellen im Hosting-Setup. Der Kunde ist sehr frustriert, genau wie ich.

48
Lew

Ich habe festgestellt, dass bei einer Google-Suche der Referer (www.google.com) aus der Webanforderung zu changewise.biz nicht zur Spam-Site weitergeleitet wird.

Wenn ich den Referer nicht herausnehme, erhalte ich die Spam-Site (und nachfolgende Anfragen erhalten sie immer, da sie dann im Browser zwischengespeichert wird).

Ich denke also, es sind keine fehlerhaften alten Google-Daten, sondern etwas auf Ihrer Website, das den Referer betrachtet.

Ihre Website liefert die folgende http-Antwort, wenn von google.com verwiesen wird:

HTTP/1.1 301 Moved Permanently
Server: Apache/2.2
Content-Type: text/html; charset=iso-8859-1
Date: Fri, 25 Apr 2014 14:10:26 GMT
Location: http://mywifeishappy.com/
Connection: Keep-Alive
Content-Length: 305

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://mywifeishappy.com/">here</a>.</p>
<hr>
<address>Apache/2.2 Server at www.changewise.biz Port 80</address>
</body></html>
39
mcgyver5

Ich würde vorschlagen, dass Ihr Apache-Prozess selbst eine Hintertür hat, da sogar der Zugriff auf nicht vorhandene Seiten mit etwas wie google \. im Referer wird umgeleitet. Z.B. mögen

GET /this-page-does-not-exist/ HTTP/1.0
Host: www.changewise.biz
Referer: foobargoogle.

Suchen Sie einfach bei Google nach "Apache Backdoor Redirect Referer" - Sie werden genügend Berichte über ähnliche Probleme finden. Die beste Reaktion wäre, den Server sofort herunterzufahren (um Kunden vor einer Infektion zu schützen und damit Ihren Ruf zu schützen) und ihn erneut von einer Quelle zu installieren, von der bekannt ist, dass sie nicht von der Hintertür betroffen ist.

23
Steffen Ullrich

Ich hatte vor ein paar Monaten etwas Ähnliches. Es stellt sich heraus, dass der problematische Code in einer JPG-Datei im Upload-Ordner versteckt war.

Gehen Sie Ihre Uploads (einschließlich von Punkten versteckter Dateien) durch und führen Sie file für jede Datei aus. Stellen Sie sicher, dass die Schafe alle Schafe sind und keinen Wolf verstecken.

8
paul

Deaktivieren Sie Javascript und prüfen Sie, ob Sie immer noch umgeleitet werden:

1) Wenn Sie immer noch umgeleitet werden, liegt das Problem im serverseitigen Code und generiert eine Umleitung (permanent und möglicherweise vom Browser Ihres Clients gespeichert).

2) Wenn Sie nicht umgeleitet werden, liegt das Problem in dem zurückgegebenen Javascript. Überprüfen Sie möglicherweise das Caching von Javascript im Browser und stellen Sie sicher, dass die Site bereinigt ist.

3
Douglas Leeder

Dies ist definitiv eine Art Überweisung von Referrern. Sie haben das .htaccess files und PHP Code, aber haben Sie versucht, die gefundene base64 zu dekodieren?

Wenn Ihre Docroot sauber ist, möchten Sie vielleicht Ihre Serverkonfiguration überprüfen, und es besteht immer noch die Möglichkeit eines Apache/ebury/cdork rootkit , aber meine erste Vermutung wäre:

  • einige böswillige PHP enthalten, die diese Weiterleitungen berechnen, wenn Google im Referrer-Header gefunden wird
  • .htaccess Manipulation.

Ist Ihre Version von WordPress + Plugins) auf dem neuesten Stand? Führen Sie eine Art Pest wie PLESK oder WMHC oder eine andere Serververwaltungssoftware aus, um Ihren Server zu verwalten?

bearbeiten:

wenn Sie ein sauberes Backup haben, führen Sie für jede Datei ein Diff aus, um böswillige Includes 'n'stuff zu finden. Ich hoffe, Sie haben eine Kopie der "infizierten" Docroot?

wenn jemand in der Lage ist, Ihre Dateien auf dem Server zu ändern, sollten Sie auch die Vuln finden, die zum Kompromiss führt. Andernfalls geschieht dies erneut.

sie sollten auch nach seltsamen Crontabs für den Webserver-Benutzer suchen (als root: crontab -l -u $ webserver-user)

Versuchen Sie, das Verzeichnis public_html in public_html.bak oder ähnliches umzubenennen, und erstellen Sie dann ein neues neues Verzeichnis public_html mit einer statischen HTML-Seite zum Testen.

Dies zeigt, ob das Problem auf der Site selbst oder in der Datenbank liegt oder ob der Apache-Server oder die Konfiguration selbst gefährdet ist. Wenn das oben genannte Problem nicht behoben wird, gehe ich davon aus, dass die Hosting-Box selbst kompromittiert ist.

Wenn das oben Gesagte die Umleitung stoppt, würde ich sie mit einem neuen wordpress installieren und die Daten wiederherstellen) neu erstellen.

2
Tiernan