Взлом сайта через redirect

#1 7 февраля 2016 в 10:35
Добрый день, коллеги.

Извините за громкое название темы, но по ходу так оно и случилось.

Посмотрите скриншот: c2n.me/3tZpIPv.

За последние два дня аномальный переход на какие-то левые ссылки с сайта через функцию redirect. Ни в базе, ни как бы в видимой части сайта не нашел ничего подобного, что показывает Яндекс. Метрика. Плюс резко (в 2 раза) увеличился входящий траффик на сайт. И потом, как видите, исходящий. Все подоные урлы, которые идут через редирект, ведут на один и тот же урл — какая-то реклама какого-то магазина: app1e-mts-ru.1gb.ua/?id=47896747

Во-первых, как решить локально проблему у себя на сайте?

Во-вторых, может быть нужно что-то подсказать разработчикам движка?
#2 7 февраля 2016 в 11:03
Накручивает кто то пф, рекламу и тд. Способ не новый и применяется "умниками" очень давно, практически у всех, у кого есть редирект и боле менее популярны есть такая фигня, либо в базу попали.
Как вы сможете удалить ссылку внешнюю такого вида вашсайт.ком/redirekt?url=сайтперехода.ком, ни как.
Отсюда только можно найти все внешние ссылки с такой конструкцией и пытаться связаться с тем кто их разместил или где разместил, договариваться, но скорее всего не прокатит.
Можно особо рьяных запретить в .htaccess тем или иным способом.
Но опять же можно задолбатся добавлять, если нет своего сервера и нет возможности с фаера порезать и тд. Хотя как вариант если есть IP и их не много или определенное место(страна и тд)

Опять же надо свою страницу редиректа жестко запретить к посещению, индексации поисковикам, robots.txt не помогает при внешних перенаправлениях на закрытые страницы и пс очень не плохо индексят такое. По этому надо прописать в .htaccess примерно такое.

  1. SetEnvIfNoCase User-Agent "^Googlebot" search_bot
  2. SetEnvIfNoCase User-Agent "^Yandex" search_bot
  3. SetEnvIfNoCase User-Agent "^Yahoo" search_bot
  4.  
  5. <FilesMatch "^.*go.*$">
  6. Order Allow,Deny
  7. Allow from all
  8. Deny from env=search_bot
  9. </FilesMatch>
В вашем случаи go, заменить на свой. И забыть о таких редиректах, если не будут массово и грузить сервер.
#3 7 февраля 2016 в 12:14
А может их использовать? crazyзаварачивать эти ненужные редиректы на свои страницы, например на страницу поиска че халявному пф трафику пропадать laugh
#4 7 февраля 2016 в 12:19
Sonat, Мысль интересная, причем у некоторых редиректися так сотни всякого мусора. Причем и на вирусняк так же сейчас делают, не зная и не ведая, можно отсылать народ на проно и тд. Есть над чем подумать.
Редирект лучше делать через прокладку с предупреждением, задержкой или по клику.
#5 7 февраля 2016 в 12:33
garry,

В вашем случаи go, заменить на свой

garry

для нубов, что имелось ввиду?
#6 7 февраля 2016 в 12:45

для нубов, что имелось ввиду?

Blackman-st
У ТС на скринет не go, а redirect страница обзывается.
#7 7 февраля 2016 в 12:46
а по дефолту go?
#8 7 февраля 2016 в 12:51
Вот эти хорошие люди которые устраивают такое, напоминают мне ребят из фильма Джентльмены удачи которые брали кассу Детского сада. На самом деле был подряд на перенос батарей из точки а в точку б. Но подписываться на нормальную работу с оплатой за труд не солидное для братвы потому все было повернуть через криминальную историю. Физические усилия те же, выхлоп тот же.
Ещё это немного из темы про то что есть люди пчелы и есть люди мухи.)
Ближе к теме). Идея редиректить этих мудаков не плохая).
Вообще вроде было обновление компонента редирект со страницей прокладкой и базой плохих сайтов.
Железных варианта решения проблемы вижу два. Первый вообще не использовать редирект. Судя по выдаче Google это не такая уж надёжная штука против индексации внешних ссылок. Тогда зачем?
Второй вариант, присваивать всем ссылкам I'd и по I'd брать из базы адрес страницы.
#9 7 февраля 2016 в 12:53

а по дефолту go?

Blackman-st

Скажу так, я привел пример который был у меня под рукой, мы просто на одном оф форуме поддержки одной системы, эту тему давно обсуждали и там я приводил именно этот код, так как редирект через go в ней идет.
По этому для себя или для вашего проекта надо вписать свой.
Наверно по дефолту будет или проверить надо go или /go/

Судя по выдаче Google это не такая уж надёжная штука против индексации внешних ссылок. Тогда зачем?

Нил™
Львиную доли вырезает не плохо, не вырезает те что вот таким образом на редирект или прокачал кто то. да и конечно не лохо оборачивать внешние в rel="nofollow"
#10 7 февраля 2016 в 12:56

А может их использовать?

Sonat

Отличный совет. Подобрать партнерку/оффер по теме магазина и перенаправлять в свой карман )

Извините за громкое название темы, но по ходу так оно и случилось.

Dorimen

Таки громкое, так как это всего редирект — любой может прописать в адресной строке вашсайт.ру/redirect?url=свойсат.ру

Тут как бы есть обход, можно проверять от куда идет юзер — если с вашего домена, то редиректим, если с другого домена или без реферера то либо сливать на партнерки, либо отсылать на страницу с уведомлением или на 404.

Что бы не лезть в системные файлы, можно в htaccess прописать перенаправление через отдельную страницу на которой и будет выполнятся проверка по HTTP Referer, например:

RewriteCond %{REQUEST_URI} ^/redirect?url=http://(.*) [NC]
RewriteRule ^(.*)$ mysite.ru/myredirect.php?url=http://%1 [R=302,L]

создать файл myredirect.php и в нем выполнять проверку.
#11 7 февраля 2016 в 13:00

Что бы не лезть в системные файлы, можно в htaccess прописать перенаправление через отдельную страницу на которой и будет выполнятся проверка по HTTP Referer

reload
Сейчас посмотрел, почти так реализовано на WP в плагине редиректа, отличная идея.
#12 7 февраля 2016 в 13:01
У меня такое на Инстант 2.4.0. Там не go, только redirect. Я даже не пойму, как они и где прописали свои ссылки. В БД ничего не нашел. А как они еще делают такую подмену? И как тогда такой трафик на себя завернуть?
#13 7 февраля 2016 в 13:05
Dorimen, Выше прочитайте внимательно.
#14 7 февраля 2016 в 13:09
Во frontend компонента files
  1. if ($do=='redirect'){
  2. // Проверяем откуда запрос
  3. if(!isset($_SERVER['HTTP_REFERER']) || stripos($_SERVER['HTTP_REFERER'], $_SERVER['HTTP_HOST']) === false){
  4. cmsCore::error404();
  5. cmsCore::halt();
  6. }
  7. ........................................
#15 7 февраля 2016 в 13:15

Я даже не пойму, как они и где прописали свои ссылки. В БД ничего не нашел.

Dorimen

Никто ничего не прописывает в базу, на ваш сайт даже никто не заходит — "ручками" в адресную строку пишут!
Встречал в инете даже базами редиректов торгуют — те кто покупают, даже не видели вашего сайта никогда)

Pasha, не лучше проверку в отдельном файле прописать?
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.