Взлом или ? - Безопасность сайтов на Joomla

Всем привет!

Нужна помощь. Вопрос не про Joomla, но не знаю куда тему переадресовать. Извините если что.

Заказали аудит по сайту и оптимизации, стоимость новой разработки на Joomla и т.д. и  т.п. Провел анализ и среди стандартных поисковых запросов обнаружился совсем нетипичный, совершенно не относящийся к теме ресурса. Стал копать и выяснилась вот такая странная вещица. Сайт с совершенно другой тематикой имеет точно такой же адрес как и у моего клиента. Я так понимаю что это паразит который присосался к более авторитетному ресурсу и таким образом старается повысить собственные позиции. Пока доступа к .htaccess у меня нет, как и к аналитике, но просто интересно как такое может быть? Единственное различие в адресной строке перечеркнут значок https и браузер ругается на небезопасное соединение. Я не специалист по безопасности и поэтому ответить на вопрос что это за прикол не могу. Может кто здесь поможет?

Сайт оригинал: sibexpo.ru

Сайт прилипала: набираем в Google "уиджи доска дьявола sibexpo" и видим негодяя.

Ну вы верно подметили, и даже определение дали - паразит. Это небольшой код, который цепляют к сайту и за счет него перенаправляют трафик. Вашего клиента нужно лечить (точнее его сайт). И это не обязательно должно быть прописано в htaccess.

Попробуйте связаться с администрацией оригинального сайта http://metelitsa.tv/. Я думаю, в их интересах также разрешить эту проблему (пессимизация и их коснётся). А технически, мне кажется, что-то не так с доменами или конфигурацией сервера. Взлом мог быть на уровне хостинга, или регистратор доменных имён/посредник химичит.

DNS - запретить поддомены. В htaccess прописать директиву запрета показа сайта в iframe

всех благодарю за отклик.

Ясно что дело нечисто. Но это точно не взлом самого ресурса. Как выше подметили проблема с хостингом или с доменом. Просто никогда с такой штукой не сталкивался, чтобы был полный клон адреса. Чисто физически ведь это невозможно?

Были на памяти и хакнутые сайты с частичным перенаправлением, но тут траффик остается на месте, просто вес ссылочный передается этому умнику. Были и полные клоны шаблонов, но с немного измененным адресом, тут же полное соответствие. Самый смак когда анализаторы выдают информацию по сайту сибэкспо, с описанием кинотеатров и наоборот. То есть воспринимают оба сайта как один.

Поддоменом тут вопрос врятли решится. Так как паразит сидит на идентичном адресе.

Я так думаючто и перевод на новую архитектуру вопрос не решит, если дело в хостинге или в регистраторе.... хз что творится.

Посмотрите что у вас в папке privat_html, момент второй, когда идем по протаколу https он выдает сертификат принадлежащий сайту metelitsa.tv, попробуйте с генерировать свой сертификат, для своего домена....


P.S: Посмотрите какие у вас есть сертифекаты на хостинге/личном кабинете, поищите соотвецтвие, как нить связаное с этим:
https://www.sibexpo.ru/catalog/item659.html

Не удалось установить защищённое соединение с этим узлом: запрошенное имя домена не соответствует указанному в сертификате сервера.

Форсированное защищённое соединение HTTP (HSTS): false
Привязка открытого ключа HTTP (HPKP): false

Цепочка сертификата:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

P.S.2: Вот нашел статейку для понимания проблемы, в двух словах не объяснишь, по этому имеет смысл почитать для общего понимания http://www.securitylab.ru/analytics/365717.php
В ней расказано о человеческом факторе подмены в реальном времени, как я понял суть вашей проблемы, в том что поддельный сертификат уже заложен в вашем серваке, который пересылает на ненужный вам сайт....

winstrool

О это уже более реально. Благодарю за интересное чтиво. Напрягает только дата статьи. Все таки 8 лет прошло. Интересно получение собственного сертификата поможет? Или все весла сушить?))


Значит нужно менять сервер, хорошо бы чтобы все было настолько просто.

winstrool

О это уже более реально. Благодарю за интересное чтиво. Напрягает только дата статьи. Все таки 8 лет прошло. Интересно получение собственного сертификата поможет? Или все весла сушить?))

Вот вам статья для получения в бытовых условиях под конкретный домен: https://www.emaro-ssl.ru/blog/sozdat_ssl_certifikat/

Т.е я делаю себе сертифекат под сайт vasya-pupkin.com и раскидываю его там куда это возможно для его работоспособности)))

Это как то... по извращенски чтоли... )))) насколько я понимаю у всех у кого на машине нет твоего сертификата будет вылазить табличка о неизвестном подключении... не шибко оптимистично однако) проще наверное убежать на другой сервак, не забыв облить помоями компанию, которая допускает подобное.

Значит нужно менять сервер

А что за провайдер, кстати?

хорошо бы чтобы все было настолько просто.

Потом расскажите нам, чем дело закончилось (и закончилось ли).

насколько я понимаю у всех у кого на машине нет твоего сертификата будет вылазить табличка о неизвестном подключении

Ну вообще, самоподписные сертификаты — классная вещь! Степень безопасности у них может быть даже выше, чем сертификаты, полученные от СА. Однако самоподписные сертификаты используют исключительно для собственных нужд, например для безопасного соединения по FTP (степень защиты сравнима с SFTP) или для работы с панелью администратора.

Это как то... по извращенски чтоли... )))) насколько я понимаю у всех у кого на машине нет твоего сертификата будет вылазить табличка о неизвестном подключении... не шибко оптимистично однако) проще наверное убежать на другой сервак, не забыв облить помоями компанию, которая допускает подобное.

Так в вашем примере так и есть)))

Вылазиет такое окошко, потому что, сертификат самоподписанный, был бы не самоподписанный а доверенный, то не вылезала бы эта херь)

Мда... веселуха в общем.

Провайдер местный какой-то. Компания полугосударственная находится в иркутске. Я к сожалению в новосибирске(((.

С одной стороны ситуация не ахти какая, но с другой теперь клиент от меня никуда не денется. Как только получу контракт, буду стучать к провайдеру, и ругаться. Через недельку отпишусь и отвечу на два извечных русских вопроса кто виноват? и что делать?

Благодарю всех!

Столько философии и эмоций: настоящая буря... в стакане. А с провайдером лучше не ругаться. Зачем? В IT вообще лучше ни с кем не ссориться: они слишком много знают, достаточно для того, чтобы испортить Вам жизнь)))

Сегодня столкнулся с такой же портянкой. Я думаю, тут проблема не с хостингом как провайдером, а виртуальным хостингом как таковым, то есть с резолвингом SNI. Если сайт крутится на шареде, то у различных сайтов может совпадать IP. Я эту проблему решил созданием самоподписного сертификата и установкой его на конкретный домен. Все операции делал в автоматическом режиме при помощи панели управления. Хостинг под управлением cPanel. После установки самоподписного сертификата, при запросе страницы по протоколу https другой сайт уже не открывался. Однако в техподдержку хостинга написал. Посмотрим, что ответят.

Сегодня столкнулся с такой же портянкой. Я думаю, тут проблема не с хостингом как провайдером, а виртуальным хостингом как таковым, то есть с резолвингом SNI. Если сайт крутится на шареде, то у различных сайтов может совпадать IP. Я эту проблему решил созданием самоподписного сертификата и установкой его на конкретный домен. Все операции делал в автоматическом режиме при помощи панели управления. Хостинг под управлением cPanel. После установки самоподписного сертификата, при запросе страницы по протоколу https другой сайт уже не открывался. Однако в техподдержку хостинга написал. Посмотрим, что ответят.

Значит мой совет был правильным

Значит мой совет был правильным

Да, однако такой способ не устраняет корень проблемы. Техподдержка хостинга разрешила эту ситуацию на уровне конфигурации сервера, установив дефолтный сертификат. По поводу причин, говорят, что такова специфика работы cPanel — может так и есть на самом деле, но правду никто не скажет. В любом случае: это не взлом, так что бояться нечего, а ключ к решению проблемы находится у хостинг-администраторов.