Второй день уже при поиске через Google в Firefox, во время перехода на мой сайт тебя отправляет на какой-то сайт, похожий на вирус. Я пока не понял, кто из них виноват - Google или Firefox, но при использовании IE таких проблем нет. Прямой заход на мой сайт тоже не дает проблем.
То же самое происходит при поиске по слову Hackish Code и попытке перейти на сайто www.hackishcode.com, который так же принадлежит мне.
Опа, меня уже начал и в IE посылать при поиске через Google. Так что браузер не виноват.
Сводки с полей. Хостер утверждает, что у него проблем нет. Выясняется, что проблема не зависит от браузера, а зависит только от Google. При переходе с любого сайта на мой блог или другие мои сайты, а так же при прямом заходе, проблем нет, на вирус отправляет только при переходе из Google. Судя по исходнику страницы с результатом поиска, Google не должен этого делать, но ведь делает, и перенаправляет всех на вирус. Остальные поисковые системы работают прекрасно. Так что пока все дороги ведут в Google. Самое страшное - непонятно, куда писать гуглу о пробелме. Я написал уже кучу писем в разные форумы Google и на разные адреса и хочу понять, откуда же ноги растут, жду ответа.
Что еще удалось выяснить. Переадресацией занимается сайт transferallsource.com. Вот данные человека, на которого он зарегестиррован:
Registrant :
Alexey Vasiliev alexvasiliev1987@gmail.com +7.3834427722
Alexey Vasiliev
Ol. Duducha 21/2 53
Moskow NSK RUSSIAN FEDERATION 630122
Domain Name: TRANSFERALLSOURCE.COM {transferallsource.com }
Registration Date : 2008-10-22
Expiration Date : 2009-10-22
Last update :2008-10-22 12:34:10
Domain Name Server:
ns1.freefastdns.com
ns2.freefastdns.com
Administrator:
Alexey Vasiliev alexvasiliev1987@gmail.com +7.3834427722
Alexey Vasiliev
Ol. Duducha 21/2 53
Moskow NSK RUSSIAN FEDERATION 630122
Technical Contact:
Alexey Vasiliev alexvasiliev1987@gmail.com +7.3834427722
Alexey Vasiliev
Ol. Duducha 21/2 53
Moskow NSK RUSSIAN FEDERATION 630122
Billing Contact:
Alexey Vasiliev alexvasiliev1987@gmail.com +7.3834427722
Alexey Vasiliev
Ol. Duducha 21/2 53
Moskow NSK RUSSIAN FEDERATION 630122
Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым
в Opera тожа фигня.
Ага. Долго пытался зайти. Напрямую не мог. Адрес не помню а систему переустановил - спас кэш гугла)
та же ситуация при переходе с гуглеридера. Честно говоря я вчера был поражен и деже немного злой и огорченный. Кстати это очень большая проблема, и я совету не писать Вам новых посто пока Вы ее не устраните что бы не привлекать новых юзверов (сужу по сибе, если не новые посты я б не пошел не сайт).
Также хочу сказать что сам не повелся на провокацию вируса и трояна "впарить" не получилось так как ..., вообщем научился смотреть на интернет "глазами хакера"
Что-то действительно страшное творится с твоими (можно буду придерживаться более неформального стиля общения?) сайтами: реклама, проблемы с заходом. Я начинаю думать, что кто-то слишком активно недолюбливает тебя.
Но это лишь мое мнение...
я же говорил - есть какая-то фигня, но странно то, что только с вашим блогом
т.е. все остальные сайты из ридера у меня как раньше открывает, а ваш - через редирект
тоже напишу щас в саппорт, мало ли
Тут проблема не у меня, а скорей всего у Гугла. Только при переходе с его страниц, появляется ссылка на фигню. Прямой заход на сайт идет без проблем и через другие поисковики тоже.
Я просто фигею. Это надо быть такими уродами, чтобы такую подлянку сделать. Михаил, скажи куда писать - флешмоб организуем.
Михаил, а не может быть так, что всё это дело где-то кем-то контролируется у твоего хост-провайдера.
Банально - проверяется referrer и если это google - перенаправляется на этот "сканер"?
Понятия не имею, как это смогли сделать и куда писать. Писал везде, где только можно в Гугл, но проблема в том, что у гугла и сервиса в принципе нет. Везде при попытке выбрать форму обратной связи посылает на страницы помощи
Google оказался не виноват, но и помощи от них я не дождался. Меня осенило, когда BasicWolf сказал про реферов. Я уже об этом думал вчера, и проверял все возможные перенаправления, но ничего не нашел. Но я не нашел потому, что на работе FTP клиент не показывает .htaccess файлы. Когда я зашел на сайт через админку сегодня дома, то в корне сайтов лежали такие файлы, где было перенаправление с гугла. Почему именно гугловское перенаправление. Кто-то не любит не только меня, но и гугла :).
Я только сейчас увидел, что TotalCommander не умеет показывать скрытые файлы (для FTP это все, что начинается с точки). Облазил настройки, ничего не нашел. Кто-то знает, где есть настройка, чтобы заставить его показывать скрытые файлы на будущее.
это для локальных файлов, а на ФТП он не показал скрытые файлы. Я несколько раз проверял. Иначе я бы еще вчера увидел косяк, потому что скрытые файлы у меня показываются.
Теперь выясняю, как все произошло. Пока есть два варианта: у меня был phpBB установлен на одном из доменов, но ссылок на него нигде не было. Может его нашли. Или все же хостинг виноват
тогда так попробуй
файл Wcmd_eng.mnu
добавь в раздел FTP
POPUP "&FTP"
MENUITEM "Show hiden files", $229
END_POPUP
Хотя я раньше предпологал что это тоже самое)
Что Михаил, глаза хакера подвели? Давно известно что у тебя завышенная самооценка, иначе не писал бы что ты умнее всех, а такую простую фишку не заметил. Можешь мой исходник выложить в раздел избранного, я не буду против. Пусть люди учатся на реальных примерах, а не на тех, про которые ты в книгах пишешь, а потом людям приходится переучиваться. Кстати, ты не человек "слова" иначе бы удалил комент ВаsicWоlfа. Распинаешься тут, я вам свободу слова дал, не пишите грубости, наверно сам займусь модерацией содержимого блога. А пишешь глупости, а юзеры думают что так и надо делать/считать/думать. ВаsiсWоlf, взаимно.
Я тоже предполагал. Но для работы с .htaccess уже долгое время использую WEB программку хостера (очень удобно) и не ожидал, что Total Commander не показывает скрытых файлов на FTP. Хотя два раза облазил диск в поисках всего инородного и даже по ошибке удалил системные файлы, что аж админам пришлось восстанавливать их (спасибо админам хостер, что быстро восстановили).
Все у меня Тотал показывает .htaccess
Михаил, а что же ты комент ВаsiсWоlfа не удаляешь? Кичишся тут, свободу слова вам дал, только не ругайтесь.
Мата нет, удалять не за что.
Хочешь сказать что можно любого посетителя назвать уродом? И это вполне прилично, потому что это не матерное слово.
Любого нет :). На самом деле, все зависит от того, как преподносить. Давай прочитаем, что написано здесь: "Это надо быть такими уродами". Даже если ты мне сделал западло, тут не говориться, что ты урод, зачем ты это сделал. Тут очень грамотное и корректное высказывание. Ты можешь написать, что только уроды взламывают сайты. Это корректное высказывание, если ты не имеешь ввиду конкретного человека. Если ты говоришь, "этот урод взломал сайт". Это указание на конкретного человека, и оскорбление конкретного человека.
Так что оскорблять действительно нельзя. Давай не будем смотреть за другими, а будем следить за собой. Я слежу за собой, а что там делают другие мне параллельно. Не думай, что я специально где-то тебя ущемлял, мне это не нужно.
Еще в справке нашел)
Сказать где ошибся? Опубликуй тогда хоть мои исходники, пусть пользователи взглянут о чем речь.
Я уже пару раз говорил, что моя ошибка меня интересует, а про какой исходник ты говоришь, я понятия не имею. На hackishcode есть форма для засылки своих исходников, и я наоборот всех упрашиваю присылать что-то для публикации, но никто не шлет :(. Пость исходник, опубликую без проблем.
Миша, а ты не допускаешь, что логин и пароль к FTP твоего хостинга мог упереть вирус, заразивший один из ПК, с которых ты админил сайт? Тем более, что пароли Total Commander хранит не безопасно. Этот же вирус мог и конфиг Total Commander-у подправить для отмены показа скрытых файлов. Он же сам мог и сделать заливку нужных файлов на FTP прямо с твоего ПК.
Подробнее написано тут:
http://www.viruslist.com/ru/weblog?weblogid=207758625
Дело в том, что у одного человека, сопровождавшего несколько сайтов на разных хостингах несколько сайтов ломанули. И сделано это было похоже описанным выше способом, т.к. на рабочем ПК вирусы водились частенько (сканером CureIt от Dr.WEB еженедельно делалась зачистка после корпоративного Nod32), и в качестве FTP-клиента использовался как-раз Total Commander.
Очень даже допускаю, потому что на старой работе я заразил однажды свой комп какой-то ерундой. И это было совсем недавно.
Вот-вот. Не даром в диалоге настроек FTP-соединения Total Commander есть предупреждение, что хранить там пароли не безопасно.
Да я и без диалога знаю :). Просто это было на работе и расслабился. Признаюсь, виноват... У меня пароли не простые, а сайтов куча, чтобы помнить их. Все, все пароли сменил и из командера все удалил. Теперь буду всегда вводить пароли ручками, пока опять не расслаблюсь :)
Со всеми бывает :-)
Ну, похоже коллективным разумом картину взлома прояснили, по крайней мере один из вероятных вариантов :-)
Очень вероятный и phpBB. Я уже говорил, что у меня стоял phpBB почти годовалой давности на winvslin и он не обновлялся. хотя ссылки на него не было, его можно было вычислить, потому что он стоял с параметрами по умолчанию.
Взлом с помощью трояна возможен...но не кажется странным, если получив пароль я не уничтожил все сайты Михаила? А если и дальше копать, то можно было бы с помощью этих паролей вскрыть почтовый ящик, а вдруг пароли одинаковые. Михаил прав, форум нужно удалять, а тем более популярный:)
Почему же, можно и обновлять. Но я его не использовал. Так ты исползовал phpBB? Эту версию я здесь озвучил уже давно (посмотри где-то третий мой комментарий здесь в вветке). Это первое о чем я подумал и поэтому снес его уже давно, сразу же и не думая. Тут тоже банальная забывчивость, я забыл его удалить, когда закрыл форум на winvslin.
Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
На сайте используются Cookie. Если вы из ЕС или Калифорнии США, то вы должны согласиться с их использованием - Согласен. Если вы из нормальной страны, то вам пох.