Взлом сайта через redirect

Во frontend компонента files

if ($do=='redirect'){
    // Проверяем откуда запрос
    if(!isset($_SERVER['HTTP_REFERER']) || stripos($_SERVER['HTTP_REFERER'], $_SERVER['HTTP_HOST']) === false){
        cmsCore::error404();
        cmsCore::halt();
    }
    ........................................

А если не 404 делать, а перенаправить на себя куда-то?

А может их использовать?

Отличный совет. Подобрать партнерку/оффер по теме магазина и перенаправлять в свой карман )

Извините за громкое название темы, но по ходу так оно и случилось.

Таки громкое, так как это всего редирект — любой может прописать в адресной строке вашсайт.ру/redirect?url=свойсат.ру

Тут как бы есть обход, можно проверять от куда идет юзер — если с вашего домена, то редиректим, если с другого домена или без реферера то либо сливать на партнерки, либо отсылать на страницу с уведомлением или на 404.

Что бы не лезть в системные файлы, можно в htaccess прописать перенаправление через отдельную страницу на которой и будет выполнятся проверка по HTTP Referer, например:

RewriteCond %{REQUEST_URI} ^/redirect?url=http://(.*) [NC]
RewriteRule ^(.*)$ mysite.ru/myredirect.php?url=http://%1 [R=302,L]

создать файл myredirect.php и в нем выполнять проверку.

не лучше проверку в отдельном файле прописать?

А зачем?

А если не 404 делать, а перенаправить на себя куда-то?

cmsCore::redirect('адрес');

Во frontend компонента files

if ($do=='redirect'){
    // Проверяем откуда запрос
    if(!isset($_SERVER['HTTP_REFERER']) || stripos($_SERVER['HTTP_REFERER'], $_SERVER['HTTP_HOST']) === false){
        cmsCore::error404();
        cmsCore::halt();
    }
    ........................................

А если не 404 делать, а перенаправить на себя куда-то?

У меня InstantCMS 2.4.0, а не 1.10.*. И за редирект здесь отвечает controllers/redirect. Здесь что написать?

.

А зачем?

Не вмешиваемся в код "ядро" + можно на отдельной странице задать время перенаправления, можно сделать просто предупреждение с ссылкой без редиректа, можно вывести рекламу, можно задать дополнительные условия для перенаправлений по определенным правилам, и много чего еще можно — и это все будет работать не зависимо от движка и версии!)

Не вмешиваемся в код "ядро" + можно на отдельной странице задать время перенаправления, можно сделать просто предупреждение с ссылкой без редиректа, можно вывести рекламу, можно задать дополнительные условия для перенаправлений по определенным правилам, и много чего еще можно — и это все будет работать не зависимо от движка и версии!)

RewriteCond %{REQUEST_URI} ^/redirect?url=http://(.*) [NC]
RewriteRule ^(.*)$ mysite.ru/myredirect.php?url=http://%1 [R=302,L]

создать файл myredirect.php и в нем выполнять проверку.

Какая же проверка должна быть в файле myredirect.php? Хотя бы базовая.

Какая же проверка должна быть в файле myredirect.php? Хотя бы базовая.

Если кто решил для двойки, подскажите как.

Не вмешиваемся в код "ядро" + можно на отдельной странице задать время перенаправления, можно сделать просто предупреждение с ссылкой без редиректа, можно вывести рекламу, можно задать дополнительные условия для перенаправлений по определенным правилам, и много чего еще можно — и это все будет работать не зависимо от движка и версии!)

RewriteCond %{REQUEST_URI} ^/redirect?url=http://(.*) [NC]
RewriteRule ^(.*)$ mysite.ru/myredirect.php?url=http://%1 [R=302,L]

создать файл myredirect.php и в нем выполнять проверку.

Какая же проверка должна быть в файле myredirect.php? Хотя бы базовая.

Может кто составлял этот файл для 2? Вопрос актуален!

Недавно тоже получил уведомления от Яндекс, о том что на сайте обнаружен вредоносный код

Скачал весь сайт + БД искал везде, но не нашел ссылку
Пока закрыл в robots.txt страницу редиректа

Evanescence, и я. Ссылки нет на сайте. Ссылка стоит на другом сайте на ваш, и в нее дописан редирект. В 2ке до сих пор нет проверки реферера…

У себя в файле system/controllers/redirect/frontend.php после строки добавил
теперь хитрецы, ставящие ссылки на свой сайт через наш редирект идут в 404…

хитрецы, ставящие ссылки на свой сайт через наш редирект идут в 404

у меня почему-то не сработал Ваш метод...

Я временно закомментировал все строки в этом файле. Правда, теперь все ссылки через редирект не работают. Да и ладно. Яндекс с Гуглом пометили сайт, как опасный из-за этих редиректов. Был трафик под 200 в сутки, упал до 10-15. Лучше с трафиком и без ссылок.

Недавно тоже получил уведомления от Яндекс, о том что на сайте обнаружен вредоносный код

Скачал весь сайт + БД искал везде, но не нашел ссылку
Пока закрыл в robots.txt страницу редиректа

Кстати у меня редирект на этот же сайт.

У себя в файле system/controllers/redirect/frontend.php после строки

$url = $this->request->get('url');

добавил

if(!isset($_SERVER['HTTP_REFERER']) || stripos($_SERVER['HTTP_REFERER'], $_SERVER['HTTP_HOST']) === false){
				cmsCore::error404();
			}

теперь хитрецы, ставящие ссылки на свой сайт через наш редирект идут в 404...

спасибо, сработало