El sitio está siendo redirigido a la tienda de Viagra; todos los sospechosos habituales suben nada

Navega tus respuestas
48

Tengo el sitio de un cliente ( enlace ) que está siendo redirigido a una tienda de Viagra (mywifeishappy.com). Hemos pasado por todos los sospechosos habituales, pero no podemos encontrar al culpable que está causando la redirección:

  • Lo primero que comprobamos todos los archivos .htaccess; todo limpio.
  • Comprobado robots.txt; de nuevo, nada.
  • Revisé todos los 522 archivos PHP en busca de códigos maliciosos (este es un sitio de WordPress que se ejecuta en RackSpace); encontramos una línea de código que tiene un base64decode de algún código en la tabla wp-options del sitio. 76 ejemplos de esto, todos los cuales fueron eliminados, aún sin alegría.
  • Fui a Google Webmasters para que Google vuelva a indexar el sitio, en caso de que tuviera datos de índice erróneos sobre el sitio; esto puede tomar un tiempo.

Lo que es extraño es que cuando accedo al sitio a través de su URL directo en mis navegadores ( enlace ) lo veo bien. Cuando el cliente hace esto en sus navegadores, el sitio termina en Viagra. Y, cuando los dos Google "cambie" y haga clic en el enlace que Google devuelve en su SERP, el sitio se redirige a la tienda de Viagra.

¿Alguien con alguna idea sobre esto? He hablado con el soporte técnico de RackSpace y no pueden ofrecer ninguna idea; no ven ninguna otra vulnerabilidad en la configuración del alojamiento. El cliente está muy frustrado, igual que yo.

    
pregunta Lew 25.04.2014 - 15:23
fuente

6 respuestas

39

Me di cuenta de que, de una búsqueda en Google, si saco al remitente (www.google.com) de la solicitud web a changewise.biz, no se redirige al sitio de spam.

Si no elimino al remitente, obtengo el sitio de correo no deseado (y las solicitudes posteriores siempre lo obtienen, ya que se almacena en caché en el navegador).

Por lo tanto, creo que no se trata de datos antiguos de Google defectuosos, sino de algo en su sitio que se ve en el referente.

Su sitio ofrece la siguiente respuesta http cuando se hace referencia desde google.com: 

HTTP/1.1 301 Moved Permanently
Server: Apache/2.2
Content-Type: text/html; charset=iso-8859-1
Date: Fri, 25 Apr 2014 14:10:26 GMT
Location: http://mywifeishappy.com/
Connection: Keep-Alive
Content-Length: 305

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://mywifeishappy.com/">here</a>.</p>
<hr>
<address>Apache/2.2 Server at www.changewise.biz Port 80</address>
</body></html>
    
respondido por el mcgyver5 25.04.2014 - 15:56
fuente
23

Yo sugeriría que su proceso de apache en sí mismo sea de puerta trasera, porque incluso el acceso a páginas no existentes con algo como google \. En el referer se redirige. P.ej. como 

GET /this-page-does-not-exist/ HTTP/1.0
Host: www.changewise.biz
Referer: foobargoogle.

Simplemente busque en Google el "remitente de redireccionamiento de puerta trasera apache": encontrará suficientes informes de problemas similares. La mejor reacción sería eliminar el servidor inmediatamente (para evitar que los clientes se infecten y, por lo tanto, guardar su reputación) e instalarlo nuevamente desde una fuente que se sepa que no está afectada por la puerta trasera.

    
respondido por el Steffen Ullrich 25.04.2014 - 23:47
fuente
8

Tuve algo similar hace unos meses. Resulta que el código problemático estaba php oculto en un archivo jpg en la carpeta de subidas.

Ir a través de sus subidas (incluidos los archivos ocultos por puntos) y ejecutar file en cada uno. Asegúrate de que las ovejas sean todas ovejas, y que no oculten un lobo.

    
respondido por el paul 26.04.2014 - 04:04
fuente
3

Desactive javascript y vea si aún se redirige:

1) Si aún se redirige, entonces el problema está en el código del lado del servidor y está generando una redirección (permanente y almacenada por el navegador de su cliente).

2) Si no se le redirige, entonces el problema está en el javascript que se está devolviendo, tal vez verifique el almacenamiento en caché de javascript en el navegador y asegúrese de que el sitio esté limpio.

    
respondido por el Douglas Leeder 25.04.2014 - 16:05
fuente
2

Intente cambiar el nombre del directorio public_html a public_html.bak o similar, luego cree un nuevo directorio public_html nuevo con una página html estática para probar.

Esto probará si el problema está en el sitio o en la base de datos, o si el servidor o la configuración de Apache está comprometido. Si lo anterior no resuelve el problema, supongo que el cuadro de alojamiento está comprometido.

Si lo anterior detiene la redirección, la reconstruiré con una nueva instalación de wordpress y restauraré los datos.

    
respondido por el Tiernan 28.04.2014 - 01:22
fuente
2

Esto definitivamente es una especie de secuestro de referencia. Revisaste los archivos .htaccess y el código PHP, ¿pero intentaste decodificar la base64 que encontraste?

Cuando su docroot esté limpio, es posible que desee verificar su configuración del servidor, y aún existe la posibilidad de que apache / ebury / cdork rootkit , pero mi primera suposición sería:

  • algunos PHP maliciosos incluyen que calcula esas redirecciones si Google se encuentra en el encabezado del remitente
  • .htaccess manipulación.

¿Su versión de los complementos de WordPress + está actualizada? ¿Ejecuta algún tipo de plaga como PLESK o WMHC u otro software de administración de servidores para administrar su servidor?

editar:

si tiene una copia de seguridad limpia, ejecute un diff para cada archivo para encontrar los archivos maliciosos incluidos 'n'stuff; Espero que tengas una copia del docroot "infectado"?

si alguien puede alterar sus archivos en el servidor, también deberá encontrar la vulnerabilidad que conduce al compromiso, de lo contrario, esto volverá a suceder.

también debe buscar crontabs extraños para el servidor web-usuario (como root: crontab -l -u $ webserver-user)

    
respondido por el that guy from over there 25.04.2014 - 16:45
fuente

Lea otras preguntas en las etiquetas

¿Existe algún método para generar contraseñas específicas del sitio que pueda ejecutarse en mi propia cabeza? ¿Hay tarjetas de identificación que no se puedan fotografiar pero que se puedan escanear?