Кража сайта на InstantCMS

Описываю по шагово и по порядку что произошло, что предпринял и на каком этапе я сейчас так насколько понимаю от такого ещё не кто застрахован. Решения проблемы на данный момент не имею, так как не понимаю что происходит.

Вчера обнаруживаю в выдаче клон своего сайта проиндексированого уже гуглом. На сайте стоит 301 редирект с небольшой задержкой который перебрасывает соответственно на другой сайт. И посмотреть станицы не предоставляется возможным.

1) предположение — утерян фтп (через который слили сайт размером 100 ГБ с лишнем, через крон)

Что предпринял: Сменил все пароли, почта, фтп, бд, админ панель сервера.

Сегодня создаю новую страницу и в ступоре, при наборе её на вороном домене она уже полностью отдается даже графика находится из поста на их сервере

мой-сайт.ру/upload/blogs/794312ce53d197d34702951051c8a69a.jpg.jpg
говно-сайт.ру/upload/blogs/794312ce53d197d34702951051c8a69a.jpg.jpg

Сейчас понимаю что сайт парсится в вообще в режиме онлайн. Что делать ума не приложу, так как не могу понять как это происходит. Заинтересованным помочь и разобратся в происходящем в личке представлю оба урл, и проведу любые возможные эксперименты.

Следующий эксперимент.

Загружаю картинку в корень сайта, открываю говно сайт — картинка уже там

Мой-сайт.ру/g-20-DSC_0952.jpg
Говно-сайт.ру/g-20-DSC_0952.jpg

К ip адресу они не привязывались. ип адреса разные, хостеры тоже и даже страны расположения серверов.

Ищите вредоносный код.

Поступило предположение что сайт сливается через скрипт ahrefs(точка)com/robot/ в robots.txt прописан запрет. Увы тоже не помогает.

Ищите вредоносный код.

Где и как? вот в чем большой вопрос и как этот код перебрасывает все в режиме онлайн с сервера

Дальше ещё интереснее. В данный момент были удалены новые изображения загруженные в корень. На говно сайте они тоже уже не имеются (404).

Итог любое мое действие клонируется

Где и как? вот в чем большой вопрос и как этот код перебрасывает все в режиме онлайн с сервера

Есть "Айболит" не плохо справляется с поиском вредоносного ПО на сайте, поищите тут на форуме, где-то есть ссылка на "Айболит"

Где и как?

instantcms.ru/blogs/poleznosti-ot-sjen/tehnika-bezopasnosti-ili-antishel.html — вам сюда.

Увы айболит не чего не находит

Всего проверено директорий и php файлов. Шелл-скрипты не найдены. Подозрительные скрипты не найдены. Не найдено директорий, доступных на запись скриптом.

Двигаюсь дальше по инструкции

iframe

iframe

А при чем здесь iframe?

что могу сказать по факту, могли написать ПО для парсинга, которое тянет страничку с донора на стороне сервера и показывает у себя, ничего сложного в этом нет.

что делать в данной ситуации — первое что приходит на ум — написать платону, гуглу и хостеру абузы и ждать

что делать в данной ситуации — первое что приходит на ум — написать платону, гуглу и хостеру абузы и ждать

Увы забыл написать это в первом посте. Это было сделано сразу после смены паролей.

Но кто даст гарантию что завтра сайт этим волшебным образом не окажется ещё на других 100 доменах. Надо решать проблему в корне.

Подозреваю что на чужом домене вы видите не копию, а свой собственный сайт (через CNAME, iframe или типа того).
Проверить можно так — создайте у себя в корне заведомо недоступный файл (без прав на чтение) чтобы он отдавался с 403-й ошибкой сразу. Тогда, если сайт парсится извне, парсер не сможет его скачать к себе. Если же этот файл появится на вражеском сайте и так же будет показывать 403 — то либо сайт сливается какой то хитроумной программой установленной на вашей стороне, либо вы действительно видите просто свое собственное зеркало.