Форум русской поддержки Joomla!® CMS
04.12.2016, 12:17:10 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Взлом или ?

 (Прочитано 551 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Vodyaraoff
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 7


« : 27.05.2016, 11:24:42 »

Всем привет!

Нужна помощь. Вопрос не про Joomla, но не знаю куда тему переадресовать. Извините если что.

Заказали аудит по сайту и оптимизации, стоимость новой разработки на Joomla и т.д. и  т.п. Провел анализ и среди стандартных поисковых запросов обнаружился совсем нетипичный, совершенно не относящийся к теме ресурса. Стал копать и выяснилась вот такая странная вещица. Сайт с совершенно другой тематикой имеет точно такой же адрес как и у моего клиента. Я так понимаю что это паразит который присосался к более авторитетному ресурсу и таким образом старается повысить собственные позиции. Пока доступа к .htaccess у меня нет, как и к аналитике, но просто интересно как такое может быть? Единственное различие в адресной строке перечеркнут значок https и браузер ругается на небезопасное соединение. Я не специалист по безопасности и поэтому ответить на вопрос что это за прикол не могу. Может кто здесь поможет?

Сайт оригинал: sibexpo.ru

Сайт прилипала: набираем в Google "уиджи доска дьявола sibexpo" и видим негодяя.
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2272



« Ответ #1 : 27.05.2016, 11:34:54 »

Ну вы верно подметили, и даже определение дали - паразит. Это небольшой код, который цепляют к сайту и за счет него перенаправляют трафик. Вашего клиента нужно лечить (точнее его сайт). И это не обязательно должно быть прописано в htaccess.
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Offline Offline

Пол: Мужской
Сообщений: 1443


« Ответ #2 : 27.05.2016, 11:42:22 »

Попробуйте связаться с администрацией оригинального сайта http://metelitsa.tv/. Я думаю, в их интересах также разрешить эту проблему (пессимизация и их коснётся). А технически, мне кажется, что-то не так с доменами или конфигурацией сервера. Взлом мог быть на уровне хостинга, или регистратор доменных имён/посредник химичит.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2651


step by step


« Ответ #3 : 27.05.2016, 14:01:44 »

DNS - запретить поддомены. В htaccess прописать директиву запрета показа сайта в iframe
Записан
Vodyaraoff
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 7


« Ответ #4 : 27.05.2016, 14:31:44 »

всех благодарю за отклик.

Ясно что дело нечисто. Но это точно не взлом самого ресурса. Как выше подметили проблема с хостингом или с доменом. Просто никогда с такой штукой не сталкивался, чтобы был полный клон адреса. Чисто физически ведь это невозможно?

Были на памяти и хакнутые сайты с частичным перенаправлением, но тут траффик остается на месте, просто вес ссылочный передается этому умнику. Были и полные клоны шаблонов, но с немного измененным адресом, тут же полное соответствие. Самый смак когда анализаторы выдают информацию по сайту сибэкспо, с описанием кинотеатров и наоборот. То есть воспринимают оба сайта как один.

Поддоменом тут вопрос врятли решится. Так как паразит сидит на идентичном адресе.

Я так думаючто и перевод на новую архитектуру вопрос не решит, если дело в хостинге или в регистраторе.... хз что творится.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #5 : 27.05.2016, 15:09:26 »

Посмотрите что у вас в папке privat_html, момент второй, когда идем по протаколу https он выдает сертификат принадлежащий сайту metelitsa.tv, попробуйте с генерировать свой сертификат, для своего домена....


P.S: Посмотрите какие у вас есть сертифекаты на хостинге/личном кабинете, поищите соотвецтвие, как нить связаное с этим:
https://www.sibexpo.ru/catalog/item659.html

Цитировать
Не удалось установить защищённое соединение с этим узлом: запрошенное имя домена не соответствует указанному в сертификате сервера.

Форсированное защищённое соединение HTTP (HSTS): false
Привязка открытого ключа HTTP (HPKP): false

Цепочка сертификата:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

P.S.2: Вот нашел статейку для понимания проблемы, в двух словах не объяснишь, по этому имеет смысл почитать для общего понимания http://www.securitylab.ru/analytics/365717.php
В ней расказано о человеческом факторе подмены в реальном времени, как я понял суть вашей проблемы, в том что поддельный сертификат уже заложен в вашем серваке, который пересылает на ненужный вам сайт....
« Последнее редактирование: 27.05.2016, 15:41:17 от winstrool » Записан
Vodyaraoff
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 7


« Ответ #6 : 27.05.2016, 16:08:44 »

winstrool

О это уже более реально. Благодарю за интересное чтиво. Напрягает только дата статьи. Все таки 8 лет прошло. Интересно получение собственного сертификата поможет? Или все весла сушить?))


Значит нужно менять сервер, хорошо бы чтобы все было настолько просто.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #7 : 27.05.2016, 16:11:24 »

winstrool

О это уже более реально. Благодарю за интересное чтиво. Напрягает только дата статьи. Все таки 8 лет прошло. Интересно получение собственного сертификата поможет? Или все весла сушить?))
Вот вам статья для получения в бытовых условиях под конкретный домен: https://www.emaro-ssl.ru/blog/sozdat_ssl_certifikat/

Т.е я делаю себе сертифекат под сайт vasya-pupkin.com и раскидываю его там куда это возможно для его работоспособности)))
Записан
Vodyaraoff
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 7


« Ответ #8 : 27.05.2016, 17:00:36 »


Это как то... по извращенски чтоли... )))) насколько я понимаю у всех у кого на машине нет твоего сертификата будет вылазить табличка о неизвестном подключении... не шибко оптимистично однако) проще наверное убежать на другой сервак, не забыв облить помоями компанию, которая допускает подобное.
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Offline Offline

Пол: Мужской
Сообщений: 1443


« Ответ #9 : 27.05.2016, 17:01:24 »

Цитировать
Значит нужно менять сервер
А что за провайдер, кстати?

Цитировать
хорошо бы чтобы все было настолько просто.
Потом расскажите нам, чем дело закончилось (и закончилось ли).
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Offline Offline

Пол: Мужской
Сообщений: 1443


« Ответ #10 : 27.05.2016, 17:19:45 »

Цитировать
насколько я понимаю у всех у кого на машине нет твоего сертификата будет вылазить табличка о неизвестном подключении
Ну вообще, самоподписные сертификаты — классная вещь! Степень безопасности у них может быть даже выше, чем сертификаты, полученные от СА. Однако самоподписные сертификаты используют исключительно для собственных нужд, например для безопасного соединения по FTP (степень защиты сравнима с SFTP) или для работы с панелью администратора.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #11 : 27.05.2016, 17:22:47 »

Это как то... по извращенски чтоли... )))) насколько я понимаю у всех у кого на машине нет твоего сертификата будет вылазить табличка о неизвестном подключении... не шибко оптимистично однако) проще наверное убежать на другой сервак, не забыв облить помоями компанию, которая допускает подобное.
Так в вашем примере так и есть)))

Вылазиет такое окошко, потому что, сертификат самоподписанный, был бы не самоподписанный а доверенный, то не вылезала бы эта херь)
Записан
Vodyaraoff
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 7


« Ответ #12 : 27.05.2016, 17:44:57 »

Мда... веселуха в общем.

Провайдер местный какой-то. Компания полугосударственная находится в иркутске. Я к сожалению в новосибирске(((.

С одной стороны ситуация не ахти какая, но с другой теперь клиент от меня никуда не денется. Как только получу контракт, буду стучать к провайдеру, и ругаться. Через недельку отпишусь и отвечу на два извечных русских вопроса кто виноват? и что делать?

Благодарю всех!
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Offline Offline

Пол: Мужской
Сообщений: 1443


« Ответ #13 : 27.05.2016, 17:49:22 »

Столько философии и эмоций: настоящая буря... в стакане. А с провайдером лучше не ругаться. Зачем? В IT вообще лучше ни с кем не ссориться: они слишком много знают, достаточно для того, чтобы испортить Вам жизнь)))
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Offline Offline

Пол: Мужской
Сообщений: 1443


« Ответ #14 : 28.05.2016, 18:30:04 »

Сегодня столкнулся с такой же портянкой. Я думаю, тут проблема не с хостингом как провайдером, а виртуальным хостингом как таковым, то есть с резолвингом SNI. Если сайт крутится на шареде, то у различных сайтов может совпадать IP. Я эту проблему решил созданием самоподписного сертификата и установкой его на конкретный домен. Все операции делал в автоматическом режиме при помощи панели управления. Хостинг под управлением cPanel. После установки самоподписного сертификата, при запросе страницы по протоколу https другой сайт уже не открывался. Однако в техподдержку хостинга написал. Посмотрим, что ответят.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #15 : 28.05.2016, 19:43:06 »

Сегодня столкнулся с такой же портянкой. Я думаю, тут проблема не с хостингом как провайдером, а виртуальным хостингом как таковым, то есть с резолвингом SNI. Если сайт крутится на шареде, то у различных сайтов может совпадать IP. Я эту проблему решил созданием самоподписного сертификата и установкой его на конкретный домен. Все операции делал в автоматическом режиме при помощи панели управления. Хостинг под управлением cPanel. После установки самоподписного сертификата, при запросе страницы по протоколу https другой сайт уже не открывался. Однако в техподдержку хостинга написал. Посмотрим, что ответят.
Значит мой совет был правильным Cool
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Offline Offline

Пол: Мужской
Сообщений: 1443


« Ответ #16 : 28.05.2016, 23:05:56 »

Значит мой совет был правильным Cool
Да, однако такой способ не устраняет корень проблемы. Техподдержка хостинга разрешила эту ситуацию на уровне конфигурации сервера, установив дефолтный сертификат. По поводу причин, говорят, что такова специфика работы cPanel — может так и есть на самом деле, но правду никто не скажет. В любом случае: это не взлом, так что бояться нечего, а ключ к решению проблемы находится у хостинг-администраторов.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet