Skocz do zawartości

Hosting dHosting.pl - 10% rabat! :-)

DejaVu24

Forum zhakowane? :D

Rekomendowane odpowiedzi

DejaVu24    15

Mam taki problem, pojawiła się moja strona pod inną domeną! :D Kompletna strona, wszystko się uaktualnia na bieżąco, dodałem fakowego usera i się tamod razu normalnie zalogowałem :D że teraz nawet wchodząc na 3 różnych przeglądarkach tam jestem zalogowany i czyszcząc ciasteczka nie idzie sie wylogować. Pisząc w tamtej domenie wszystko pojawia się u mnie.... masakra jakaś.

Forum zainstalowane w grudniu, w aktualizacjach zaczyna się od 4.1.18 do 4.1.19.4 to zakładam, że mam coś 4.1.17?

Co z tym począć

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
DejaVu24    15

Ale co mam się zapytać? :) Czy ktoś się łączy z tą moją bazą danych jeszcze? Bo nie ogarniam tego.

Bo to wygląda, jakbym miał na serwerze jeszcze jedna domene podpiętą która korzysta z tej samej bazy danych. Bo to nie jest jakaś twarda kopia strony tylko normalnie stoi tam strona na IPB, ... no kopia po prostu, nawet zalogowanych i liczbe gości pokazuje taką samą, jedyne co nie działa to czatbox nie może się załadować :)

Mi przyszło do głowy, że forum nieaktualizowane i jest gdzieś dziura jak w serze szwajcarskim i jakos popiera te dane.

 

Mam plan, zrobić upgrade. Z ipsu w czerwcu przed wygaśnięciem licencji ściągnąłem najnowszą chyba to była ta 4.1.19.4 , teraz mam 4.1.17.1 - przed upgrejdem albo ukryje wszystko albo usunę (i tam wszystko zniknie :D taki plan...)i  potem wgram nową bazę wcześniej zgraną... choć się dygam bo za dużo może się zepsuć.

A tak btw. Na forum kiedyś było co w phpmyadminie trzeba pozaznaczać aby prawidłowo zgrać baze danych, nigdzie tego nie ma, czy wystarczy w PA od hostingu ściągnąć kopie bazy bez żadnych zabawy w ustawienia jakie można zaznaczać w phpmyadminie?

 

No nie wiem kompletnie co robić, czy właśnie pisać do serwerowni to do czego można uderzać?

Chyba ten kradziej jest od jakiegoś czasu, bo sprawdzałem hasła jak moja strona jest zaindeksowana to był skubany jedno miejsce niżej.. czyli  jakiś czas siedzi ten pasożyt.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
DejaVu24    15

Wysłałem na PW

Tak dalej kombinuje, niestety updejta nie mogę zrobić bo licencja się skończyła i sie nie da, szkoda że nigdy o tym nie czytałem, że taki wałek  i wysypałem tylko forum testowe :)

Teraz wrzuciłem obrazek przez ftp to i tam na tej drugiej domenie też jest, czyli jakby to nie hakowanie strony tylko coś z podpięciem domeny, że korzysta z całych dobrodziejstw mojego hostingu i danych w niej zawartych.

Sprawdzałem, u siebie tej domeny nie mam ;) w takim razie jak ktoś może podłączyć swoją domene pod inną stronę? Ze nie będzie widać nic na hostingu :)

Edytowane przez DejaVu24

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
DawPi    7509
2 godziny temu, DawPi napisał:

Serwerowni się pytałeś?

Tak jak mówiłem. Ich zapytaj czy ta druga domena nie jest od nich i jakiś błąd się nie wkradł.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
DawPi    7509

Dla mnie ten temat nijak się ma do problemu z forum, więc przenoszę.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
DejaVu24    15

Ale teoretycznie widzę na dole strony jest dodany jakiś skrypt, chyba licznik odwiedzin, czyli nie jest to chyba tylko przypadkowe podpięcie.

Napiszę do supportu od serwera, zobaczymy

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
DejaVu24    15

Więcej info z suportu z hostingu oleli, domena nie jest ich, nie mam jej u nich w bazie jest gdzie indziej, tylko ze to sam wiedziałem sprawdzając whios...

Druga sprawa, chciałem zrobić przekierowanie przez htaccess ale wywalało stronę, jak i moją i tą drugą :< próbowałem w globatemplate  dodać skrypt na przekierowanie to i tak nic nie daję bo skubany zmienia z automatu moją domenę na swoją i wszystko pięknie u niego gra :D jak dam inny adres to nie zmienia ale i tak nic nie pomaga, bo u niego niby jest że ma przekierować ale i tak nie działa :D no kaszana jak narazie, na bank zhakowane forum jednak a nie przypadkowe podpięcie domeny czy coś w ten deseń.

 

Szukam dalej, jak ktoś ma pomysły dawać.

Zastanawiam się czy nie zmienić np hasła do bazy danych, ale znając farta gdzie wysypie wszystko :/

Edytowane przez DejaVu24

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
Jurij    1573

Znając życie to farta wypuszcza ze śmiechu autor ataku na Twoje forum czytając ten temat. A przecież tyle razy było pisane...

 

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
DejaVu24    15

Lecz to nie jest przekierowanie strony, że w szablonie zmienione, tutaj ktoś całą stronę postawił z domeną www ciągnącą wszystko z mojego hostingu ftp jak i bazy danych, az się zastanawiam jak to praktycznie można zrobić, jak jeszcze połączenie w jakiś sposób mojej bazy danych z tą jego mając wszystkie moje hasła itd mogę wyobrazić, ale jak linkować z domeny to co wrzucam  na ftp nie mając domeny podpiętej w hostingu? No nie da się niby :D

W sensie wrzucam sobie na ftp obrazeczek

mojademena.pl/fotka.jpg

a działa też na jego :)

jegodomena.com/fotka.jpg

No po prostu nie kumam tego. Wyższa jazda.

Pozmieniałem hasła ftp, bazy, acp, bez rezultatu, zanim wgrałem nowy cofig, strona padnięta i u mnie i u niego, po wgraniu wszystko ładnie wszędzie działa :)

 

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
qubabos    75

Zdefiniuj z htaccess nagłówki 

X-XSS-Protection

X-Content-Security-Policy

X-Content-Type-Option

X-Frame-Options jako SAMEORIGIN

I duża szansa że tamta domena będzie miała problem. Podejrzewam że to nie hack tylko click jacking via iframe - oglądasz swój salon  u kogoś w sedesie :)

  • Lubię to 1

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
DejaVu24    15

dodałem do htaccess tak

Header set Content-Security-Policy "default-src 'self'"
Header set X-Content-Type-Options nosniff
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN

nic nie pomogło, tamta stronka jak działała tak i działa, i najlepsze że jak dodawałem po jednym i sprawdzałem czy pomaga, ale jak poszło ostatnie

Header set Content-Security-Policy "default-src 'self'" 

- to filmy embdowane u mnie przestały działać w sensie pojawiać się ale na tamtej stronie wszystko ładnie chodziło :)

 

 


 

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
Jurij    1573

Porównaj sobie zawartość serwera (katalogów forumowych) z oryginalną paczką IPB ściągniętą z Client Area za pomocą WinMerge. Mam wrażenie, że znajdziesz coś ciekawego :)

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
DejaVu24    15

Ściągnąłem, sprawdziłem, głupi program pokazuje prawie wszystko że się nie zgadza, z poczatku wywalał info po wejściu do pliku że na dole coś znak końcowy i czy ma to ignorować, teraz ignoruje przy wejściu, ale w liście nadal pokazuje że się nie zgadza...Przejrzałem sporo plików i zero róznicy. Pliki ktore sie zgadzaja to tylko puste indexy :)

Ogólnie ten programik to tylko tak liste pokazuje i trzeba ręcznie przeklikać wszystkie katalogi i pliki? Czy może jakieś te filtry jeszcze dodać, bo to się kupy nie trzyma.

Również lipa bo po instalacji i działaniu strony sporo plików się porobiło, i też zgaduj zgadula które prawidłowe a które dodane nie przez skrypt...

Dla potwierdzenia dodaje zrzut, sitemap.php który też się nie zgadza, a wszystko jest identyczne.

 

fot.png

Edytowane przez DejaVu24

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
Jurij    1573

Program nie jest głupi, bo jak się go umie obsługiwać to podświetla każdą linijkę kodu, który się różni od oryginału. Ergo - każdy złośliwy kod w plikach forumowych jest widoczny jak pomarańczowe lamborghini na śniegu. No ale porównywać, to trzeba umić...

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
DejaVu24    15

@qubabos Gdyby to było takie proste i strona by działała w taki sposób jak działa to można by było "ukraść" każdą stronę i kierować na swoje domenki i na tym zarabiać :D = wrzuć onety wp i interie i zarobiony ;) na PW zaraz podeśle domenki to zobaczysz, że to niezły przekręt i trzeba zrozumieć jak ktoś mógł coś takiego zrobić bo jak inaczej to naprawić.

 

@Jurij Dlatego pytam się czy trzeba jakieś jeszcze filtry dodawać do tego programu czy jak. Bo polecasz program, staram się nim porównywać a ty mi tu mówisz że nie umiem.. no nie umiem, pierwszy raz coś takiego robie. ;)

Ściągnąłem z ftp katalog ze skryptem, mam też katalog który wrzucałem podczas instalacji, w programie dodaje te katalogi lewa/ prawa w filtrach mam *.* i wszystko. Po tym wywala w każdym pliku pomarańczową ścieżkę, a widzę że kod nic się nie różni.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
kodif    109

1. W sekcji <head></head> wstaw:

 

<script language="javascript">
  if(top!=self)
    top.location.href = "http://www.adres-twojej-strony.pl";
</script>

2. Porównaj źródła strony na obu domenach, poszukaj zmian.

 

Pisałeś do hostingu tej obcej domeny?

Edytowane przez kodif

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
DejaVu24    15

Jak pisałem wcześniej takie coś nie zadziała bo on z automatu każdą nazwę mojej domeny zmienia na swoją, pomyślałem też aby dać przekierowanie na inną domenę, a ją na moją ale to błędne koło bo ciągle będzie przerzucać :D Ale fakt faktem da się, bo u niego zadziała jak nie podam swojej domeny.

Co do drugiego, to wszystko się zgadza w kodzie, nie licząc na końcu strony dodany jakiś ruski licznik. A tak generalnie mam wrzucone reklamy adsense i analytics od gogla, to nic nie jest zmienione, i w sumie nie wiem czy to mam ruch na mojej stronie czy jego, taki wałek. Choć jak będzie podwójne zysk na adsense to zostawie ;) - (i tak przyszło do głowy, że dobra sprawa, zrobić 10 domen jedna treść i wszystko niech się na swoje konto indeksuje..)

Ogólnie jak wcześniej też pisałem zrobiłem fakowe konto z PA wbiłem na tamtą stronę zalogowałem się, no i na każdej przeglądarce byłem zalogowany, nie można było się wylogować, zostawiłem na dzień to w nocy już jakieś ruskie posty w artykułach były wrzucane. I nie wiem czy to każdy jak wchodził był już zalogowany na to czy tylko mnie tak złapało.

A może przez htaccess da się jakoś zablokować domenę? Że swoją nawet, w sensie wpiszę jego a on swojej nie usunie bo tylko moją podmienia.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
DejaVu24    15

Dobra znalazłem na końcu dyskusji koleś gdzieś doczytał że niby włam jest przez TinyMce. Nie wiem czy IPB to ma, ale ogólnie, myk na to jest inny i jak widać cieżki do zwalczenia :< Widać moje pierwsze miejsca w kilku popularnych słowach w wyszukiwarkach dały znak temu ruskowi że warto ją przejąć :(

Tu ta dyskusja

https://productforums.google.com/forum/#!topic/webmaster-pl/bYttCITMNJ4

a tu chyba wyjaśnienie jak próbować z tym walczyć

http://www.exeproductions.com/proxy-hijacking-and-google-search-results-did-a-hacker-finally-get-hacked/

Tylko, że takiego angielskiego to nie rozumiem, ktoś doradzi, bo translator gubi sporo sensu :/

Edytowane przez DejaVu24

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
Jurij    1573
Cytuj

A tak generalnie mam wrzucone reklamy adsense i analytics od gogla, to nic nie jest zmienione, i w sumie nie wiem czy to mam ruch na mojej stronie czy jego, taki wałek. Choć jak będzie podwójne zysk na adsense to zostawie ;)

 

:o Mam nadzieję, że Twoi użytkownicy przeczytają ten temat...

 

Cytuj

(i tak przyszło do głowy, że dobra sprawa, zrobić 10 domen jedna treść i wszystko niech się na swoje konto indeksuje..)

 

:o:o:o Widzę, że Janusze biznesu i Mirki handlarze to przy Tobie amatorka... Z takim biznesplanem po sklonowaniu youtube, facebooka czy onetu z pewnością szybko zostaniesz bogatszy od Billa Gatesa :33_8:

 

 

Cytuj

Tu ta dyskusja

https://productforums.google.com/forum/#!topic/webmaster-pl/bYttCITMNJ4

a tu chyba wyjaśnienie jak próbować z tym walczyć

http://www.exeproductions.com/proxy-hijacking-and-google-search-results-did-a-hacker-finally-get-hacked/

Tylko, że takiego angielskiego to nie rozumiem, ktoś doradzi, bo translator gubi sporo sensu :/

 

 

Drugi link dotyczy stron opartych na Joomli z wtyczkami TinyMce. W pierwszym masz rozwiązanie - wpis do .htaccess blokujący hotlinkowanie z iframe. Próbowałeś, czy nie masz czasu bo liczysz miliardy z adsense? :spiteful:

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
DejaVu24    15
9 godzin temu, Jurij napisał:

:o:o:o Widzę, że Janusze biznesu i Mirki handlarze to przy Tobie amatorka... Z takim biznesplanem po sklonowaniu youtube, facebooka czy onetu z pewnością szybko zostaniesz bogatszy od Billa Gatesa :33_8:

 

Drugi link dotyczy stron opartych na Joomli z wtyczkami TinyMce. W pierwszym masz rozwiązanie - wpis do .htaccess blokujący hotlinkowanie z iframe. Próbowałeś, czy nie masz czasu bo liczysz miliardy z adsense? :spiteful:

 

@Jurij Akurat to tylko ciekawostka zarobku ;) i chodziło o sklonowaniu samemu swojej strony na 10 różnych domen, klonowanie yt czy fb nic by mi nie dało bo nie podmienia reklam ani zawartości ;) Choć w sumie jakoś wstawił ten ruski licznik na dole strony/kodu całej strony, jak i podmienia moją domenę na swoją to może i podmienić pewnie wszystko inne. Ale to tylko takie przemyślenia, nie wnikać w to.

 

w pliku htaccess mam tak od 2 dni, bez rezultatu.

<IfModule mod_rewrite.c>
Header always append X-Frame-Options DENY
Header set X-Content-Type-Options "nosniff"
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Security-Policy "allow 'self';"

Options -MultiViews
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule \.(js|css|jpeg|jpg|gif|png|ico|map)(\?|$) /404error.php [L,NC]

RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# Options +FollowSymlinks
RewriteCond %{HTTP_REFERER} klonmojejstrony\.com [NC]
RewriteRule .* – [F]


</IfModule>

Order Deny,Allow

Deny from 104.27.ip do www klona

allow from all

Czy dobrze nie wiem, czytam teraz też jak przyblokować kopiowanie obrazków w htaccess ale też raczej to nic nie da.

Ogólnie w tym temacie na goglowskim forum co podałem wyżej to było, że niby strona jest kopiowana 1.1, ale właśnie skąd np ten"bot" czy kto to robi, wie że wrzuciłem jakiś plik na ftp, (tworze nowy katalog wrzucam fote, wchodzę od razu na klona, wbijam adres do zdjęcia i jest) teoretycznie powienien to pomijać.

Zmieniam skina domyślnego to tam z automatu też się zmienia. I wnioskuję, że to chyba inny problem.

W panelu admina hostingu jest ten webanalizer to też nie ma jakiś masowych połączeń z konkretnego IP aby można było to wyłapać i zablokować.

Dokładnie jakbym miał dwie pełnowartościowe domeny na jednym koncie/katalogu co jest awykonalne :o

Ten kto to to wymyślił to mistrzostwo świata :)

 

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
Jurij    1573
Cytuj

 

@Jurij Akurat to tylko ciekawostka zarobku ;) i chodziło o sklonowaniu samemu swojej strony na 10 różnych domen, klonowanie yt czy fb nic by mi nie dało bo nie podmienia reklam ani zawartości ;) Choć w sumie jakoś wstawił ten ruski licznik na dole strony/kodu całej strony, jak i podmienia moją domenę na swoją to może i podmienić pewnie wszystko inne. Ale to tylko takie przemyślenia, nie wnikać w to.

 

To był sarkazm. Ironicznie wyszydzający zachowania w pełni zasługujące na nagrody imienia Jarosława Kuźniara czy też zaszczytne tytuły cebuli roku.

 

Cytuj

Dokładnie jakbym miał dwie pełnowartościowe domeny na jednym koncie/katalogu co jest awykonalne :o

Ten kto to to wymyślił to mistrzostwo świata :)

 

 

 

Jak to miał dwie domeny? Ta druga domena też jest Twoja? Jeśli nie, to sprawdź do kogo należy. Wtedy będziesz miał odpowiedź...

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
DejaVu24    15
Cytuj

Wtedy będziesz miał odpowiedź...

Nie tej odpowiedzi szukam, bo sprawdzałem gdzie ona leży przez whios... zachodnie wybrzeże USA, jak podawałem wyżej wpisałem te IP do htaccess, ale nie wiem jakby to miało działać. Bo nie wiadomo, jak ten klon działa, czy to rzeczywiście kopia, ale kopia miałaby jakiś poślizg a to się aktualizuje co do sekundy i ten klon ma wszystkie pliki mojej domeny. A chyba zdalnie nie da się, podczepić domeny pod mój hosting, i tym bardziej przechwytywać wszystkie pliki i mieć dostęp do bazy danych.

 

A tak BTW gdybym miał tą domenę to nie byłoby tematu ;)

 

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników, przeglądających tę stronę.

×