Не нравятся результаты поиска? Попробуйте другой поиск!

Клон сайта


     02.10.2013    уязвимость    Все вопросы » Общие вопросы    5817

вопрос
Здравствуйте, столкнулся с интересным случаем, самому просто не справится, пару дней назад обнаружил, что вроде бы на первый взгляд слили БД моего сайта. Я конечно же первым делом сменил абсолютно везде пароли (e-mail, БД, FTP и т.д.); Проверил даты у файлом и папок, изменений нет, но решил на всякий случай перезалить заново все файлы скрипта; Проверил антивирусником встроенным в скрипт и обнаружил левые файлы в папке engine/cache/system/ c названием minify_dbconfig.php.js_5cf6c499f8c1dd51050a5bf6981022a5, файлы удалил. Проверил в ручную БД, ни чего лишнего не нашел. На этом думал, что все.

Сегодня ночью вновь зашел на сайт клон и обнаружил, что не только новости и комментарии добавляются на сайте, но он и походу синхронно работает с моим сайтов. Например если кто-то выставит оценку новости, она выставится и на сайте клоне, тоже касается и просмотров, все это происходил моментально. Я начал опять проверять файлы скрипта, БД своего сайта и просматривать исходный код страниц и обнаружил, что с сайта сливается не только БД, но и файлы скрипта. К примеру в полную новость ради эксперимента я добавил после новости <!--проверка-->, сразу же захожу на клон сайта, в полной новости просматриваю после новости и так же вижу <!--проверка--> который был только-только добавлен. Начал дальше проверять, у меня на сайте были проблемы с поиском, при попытки поиска выдавал MySQL ошибку, исправил у себя исправилась и на клон-сайте. Начал дальше ковыряться в скрипте и меж делом решил исправить MySQL ошибку с topnews и включить его в настройках админ панели, включил у себя, стал отображаться и на сайте клоне.

Не знаю важно это или нет, но мой сайт размещен на iphoster, а у него на РЕГ.РУ. Разница лишь между двумя сайтами лишь, моим и клонов в том, что на его нельзя авторизоваться и зарегистрироваться, хотя скриптом это разрешено. Постарался максимально подробно описать все, если нужно будет, то дополню.

Вопщем-то здесь и возникает у меня вопрос, в чем может быть причина, как это можно остановить и защитить сайт от этого?

Ответа пока нет


21 комментарий

Roman.NMSK
Юзер

Roman.NMSK - 2 октября 2013 10:26 -

как вариант создали в БД доп.юзера с полными правами и подключаются к базе напрямую удаленно

pirat.pro
Юзер

pirat.pro - 2 октября 2013 12:34 -

Цитата: Roman.NMSK
как вариант создали в БД доп.юзера с полными правами и подключаются к базе напрямую удаленно

Спасибо, такой вариант не рассматривал, но тогда возникает проблема с файлами скрипта, ведь если я изменяю их у себя, они изменяются и на втором сайте.

dj-avtosh
PHP-developer

dj-avtosh - 2 октября 2013 13:03 -

Можете отписать мне, я посмотрю, есть ли такой доступ. Нужен будет доступ к ISP.

По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

compis
Юзер

compis - 2 октября 2013 13:03 -

Тема с клонами возникает давно, парсер сайта используется (точно не скажу), много раз встречал в сети подобную информацию. Одно время и Провеббер так парсили с коментами и прочим.

Конечно, можно было бы и в рег.ру написать, но доказать, что ваш сайт первоисточник (и еще с учетом контента - правовые вопросы) ... Разве, что по датам регистрации доменов, хотя тут тоже вопрос.

dj-avtosh
PHP-developer

dj-avtosh - 2 октября 2013 13:04 -

Парсер называется - функция file_get_contents, ну либо CURL LIB :D

По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

shamanim
Юзер

shamanim - 2 октября 2013 17:04 -

тут все ясно, был у меня такой же случай пару месяцев назад, на одном из проектов клиентов, первое мнение очень похоже на твое, но то что сайты работают синхронно меня сразу успокоило, они не парсят данные, они работают как зеркало, решается очень просто, обрубается их ip адрес в админке хостинга

Webstrannik
Юзер

Webstrannik - 2 октября 2013 18:17 -

как малые дети, ни кто не воровал ни бд ни сайт
работает скрипт который подгружает ваш сайт на своем домене и все то )))

бороться можно разными способами


// Мой настоящий домен сайта
$my_domen = "newtemplates.ru";
// Адресс домена на котором показывается страница
$what_domen = $_SERVER['HTTP_HOST'];
// Адресс данной страницы
$what_adres = $_SERVER['REQUEST_URI'];

// Если страница показывается не на домене newtemplates.ru
if (!preg_match("#$my_domen#i", $what_domen)) {
    
    // Делаем редирект на наш сайт;) и получаем трафф с клонов )))
    header ("Location: http://{$my_domen}{$my_adres}");
}


добаввить в самый верх index.php после <?php
* скрипт не проверял, написал на скорую руку, если не работает пиши в личку поправим

craf
Юзер

craf - 2 октября 2013 18:50 -

не работает.

Webstrannik
Юзер

Webstrannik - 2 октября 2013 18:43 -

* исправлена ошибка :)
// Мой настоящий домен сайта
$my_domen = "newtemplates.ru";
// Адресс домена на котором показывается страница
$what_domen = $_SERVER['HTTP_HOST'];
// Адресс данной страницы
$what_adres = $_SERVER['REQUEST_URI'];

// Если страница показывается не на домене newtemplates.ru
if (!preg_match("#$my_domen#i", $what_domen)) {
    
    // Делаем редирект на наш сайт;) и получаем трафф с клонов )))
    header ("Location: http://{$my_domen}{$what_adres}");
}

vlad23
Юзер

vlad23 - 3 апреля 2014 00:19 -

а чем этот код отличается от выше написанного который не работает? вроде они одинаковы

craf
Юзер

craf - 2 октября 2013 18:44 -

у меня такая же проблема. тут я описал подробно

GiloNews
Юзер

GiloNews - 2 октября 2013 22:18 -

Кстати если у вас ДЛЕ 10 смотрите, Список неудачных попыток авторизации пользователей в админпанели или пользователей, имеющих доступ к админпанели.. Сейчас, кто-то тупо по различным сайтам на ДЛЕ, брутфорсом занимается. Его ip 5.61.*.*, хостинг Inferno Solutions на площадках LEASEWEB (наверное и хостинг компания и пользователь не боятся, что проблемы могут быть у обоих, помимо потери площадки). Может пароль подобрали к админке?

pirat.pro
Юзер

pirat.pro - 2 октября 2013 22:39 -

Цитата: compis
Тема с клонами возникает давно, парсер сайта используется (точно не скажу), много раз встречал в сети подобную информацию. Одно время и Провеббер так парсили с коментами и прочим.Конечно, можно было бы и в рег.ру написать, но доказать, что ваш сайт первоисточник (и еще с учетом контента - правовые вопросы) ... Разве, что по датам регистрации доменов, хотя тут тоже вопрос.

Бесполезно, они потребую доказательства, документ подтверждающий, что контент мой и т.д. Лучше начать с поисковиков.

Цитата: dj-avtosh
Парсер называется - функция file_get_contents, ну либо CURL LIB :D

Мне писковик не дал ни какой информации, вы не могли бы дать больше информации, в какую сторону искать?

Цитата: shamanim
тут все ясно, был у меня такой же случай пару месяцев назад, на одном из проектов клиентов, первое мнение очень похоже на твое, но то что сайты работают синхронно меня сразу успокоило, они не парсят данные, они работают как зеркало, решается очень просто, обрубается их ip адрес в админке хостинга

Я как всегда был на половину прав, правда я ip внес в админке скрипта

Цитата: Webstrannik
* исправлена ошибка :)

Спасибо за скрипт, попробую и отпишусь.

Цитата: GiloNews
Кстати если у вас ДЛЕ 10 смотрите, Список неудачных попыток авторизации пользователей в админпанели или пользователей, имеющих доступ к админпанели.. Сейчас, кто-то тупо по различным сайтам на ДЛЕ, брутфорсом занимается. Его ip 5.61.*.*, хостинг Inferno Solutions на площадках LEASEWEB (наверное и хостинг компания и пользователь не боятся, что проблемы могут быть у обоих, помимо потери площадки). Может пароль подобрали к админке?

ДЛЕ 10 от 22.09.2013 если конечно же это важно. В списке неудачный не однократно мелькал ip 5.61.*.*, я его в скрипте добавил в черный списко сегодня. Вы не мог ли бы поподробнее написать, что значит не боятся проблем, можно с хостингом связаться и указать, что с их сервера делается брутфорс? Пароль сегодня поменял и и ещё раз поменял названия файла админки.

Хотелось бы выразить всем большое спасибо за то, что откликнулись, честно, не ожидал :)

GiloNews
Юзер

GiloNews - 2 октября 2013 22:49 -

введите в 2ip.ru/whois/, адрес и получите вот такую информацию:

Страна: Germany
IP диапазон: 5.61.32.0 - 5.61.47.255
Название провайдера: ********************************************************
inetnum: 5.61.32.0 - 5.61.47.255
netname: INFERNO-NL-DE
descr: ********************************************************
descr: * We provide virtual and dedicated servers on this Subnet.
descr: *
descr: * Those services are self managed by our customers
descr: * therefore, we are not using this IP space ourselves
descr: * and it could be assigned to various end customers.
descr: *
descr: * In case of issues related with SPAM, Fraud,
descr: * Phishing, DDoS, portscans or others,
descr: * feel free to contact us with relevant info
descr: * and we will shut down this server: abuse@3nt.com
descr: ********************************************************
country: DE
admin-c: TNTS-RIPE
tech-c: TNTS-RIPE
status: ASSIGNED PA
mnt-by: MNT-3NT
mnt-routes: LEASEWEB-MNT
source: RIPE # Filtered

person: Neil Young
address: 3NT SOLUTIONS LLP
address: DALTON HOUSE 60, WINDSOR AVENUE
address: LONDON, UK
phone: +442081333030
abuse-mailbox: abuse@3nt.com
nic-hdl: TNTS-RIPE
mnt-by: MNT-3NT
source: RIPE # Filtered



route: 5.61.32.0/20
descr: Routed via LEASEWEB
origin: AS16265
mnt-by: OCOM-MNT
source: RIPE # Filtered


все жалобы можете отправлять на мыло abuse@3nt.com, скорее всего на английском и с указанием даты и времени (от начала до конца брутфорса), ваш ip адрес и название домена и количества попыток подобрать пароль на сайте. Они уже дальше сами разберутся с ними.

GiloNews
Юзер

GiloNews - 2 октября 2013 23:02 -

смотрите, что написано в поле descr:
Советую у кого dle 10 проверить, на наличие таких ip адресов, быть может они у вас шарятся на сайте.
Если имеются, можете незамедлительно писать в Leasyweb.
Зря начинающие хацкеры выбирают немецкий хостинги для этого, зря. Отключить сервер самое, что мягкое могут сделать хостеры, если жалоб будет много, могут ждать гостей.

pirat.pro
Юзер

pirat.pro - 2 октября 2013 23:12 -

Цитата: GiloNews
все жалобы можете отправлять на мыло abuse@3nt.com, скорее всего на английском и с указанием даты и времени (от начала до конца брутфорса), ваш ip адрес и название домена и количества попыток подобрать пароль на сайте. Они уже дальше сами разберутся с ними.

Спасибо за разъяснение, с английским конечно большая проблема, но постараюсь максимально грамотно составить письмо и отправить. Заблокировал все ip 5.61.*.* и не помогло. Сайт работает, комментарии которые вот только-тоьлко пользователем оставленные после блокировки появились и на сайте клоне. Он весь день пытается подобрать пароль с ip 193.105.154.231, но , что странно сегодня файл админки был переименован.

Webstrannik, К сожалению не помогло, клон работает и с него не перебрасывает на мой сайт.

dample
Юзер

dample - 2 октября 2013 23:25 -

Блокировать нужно на уровне сервера по 80 порту, а не в скрипте dle
Блокировка в дле не спасет.

В крайнем случае ограничите доступ через штаксесс
deny from 193.105.154.231 в конец файла

GiloNews
Юзер

GiloNews - 2 октября 2013 23:27 -

Вы заблокировали, только адреса с которых подбирались пароли к админке. Возможно, что те, кто взламывал, удаленно используют вашу базу или наоборот вы подключаетесь удаленно к скопированной базе. Посмотрите в dbconfig.php указано значение define ("DBHOST", "localhost"); или вместо localhost стоит ip адрес

pirat.pro
Юзер

pirat.pro - 2 октября 2013 23:39 -

Цитата: dample
Блокировать нужно на уровне сервера по 80 порту, а не в скрипте dleБлокировка в дле не спасет.

Сначала я вбил ip в админки, но позже добавил его в черный список у хостига.

Цитата: dample
В крайнем случае ограничите доступ через штаксессdeny from 193.105.154.231 в конец файла

я сам только, что об этом подумал, но то ли подбирают пароль время от времени разные люди, нашел ещё ip 158.58.168.79, то ли он меняет их. Я думаю в штаксесс прописать доступ к админки только для своей подсети, у меня динамический ip :)

Цитата: GiloNews
Вы заблокировали, только адреса с которых подбирались пароли к админке. Возможно, что те, кто взламывал и удаленно используют вашу базу. Посмотрите в dbconfig.php указано значение define ("DBHOST", "localhost"); или вместо localhost стоит ip адрес

"DBHOST", "localhost"

GiloNews
Юзер

GiloNews - 3 октября 2013 05:03 -

пароли на фтп, доступ к веб панели, к админке dle, mysql делайте более сложными не менее 15 символов.

pirat.pro
Юзер

pirat.pro - 3 октября 2013 07:46 -

Цитата: GiloNews
пароли на фтп, доступ к веб панели, к админке dle, mysql делайте более сложными не менее 15 символов.

С паролями все понятно, но проблема-то не в них, а в том, что кто-то создал зеркало моего сайта и именно от зеркало мне нужно избавится.

Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

наверх