Nielegalne odwzorowanie forum w innej domenie.

[julekjulek]

Witam, czy ktoś spotkał się z problemem jak niżej.

 

Adres mojej witryny, forum https://www.sat-4-all.com/board/

Jak to jest możliwe, że pod adresem http://regal88my.com/board/ istnieje "kopia"  odwzorowująca na żywo dane z forum.

 

Wydaje się, że kopia odwzorowuje dane dostępne dla grupy Gość.

Przykładowo dodanie nowego tematu, po chwili, jest widoczne w "kopii" (jeśli jest dostępne dla gości).

 

1. Nie zaobserwowałem włamania na FTP forum.

2. Hasło do bazy danych zmieniłem, jak tylko natknąłem się na "kopię" i od razu sprawdzałem czy "kopia" dalej jest na żywo. 

3. W logach na forum i w hostingu nie zaobserwowałem niczego niepokojącego.

4. Analizując "kopię" w narzędziach dla programistów, w przeglądarce chrome, w zakładce "Souces / Sources" jest odwołanie do skryptu umieszczonego w katalogu forum /uploads/javascript_core/.

Zauważyłem, że skrypty w tym katalogu tworzone są przez wejście w panelu admina do "POMOC / Wsparcie techniczne / Wystąpił problem techniczny".

W źródle "kopii" widać odnośniki do jakiś ruskich stron.

 

Mam wrażenie, że "kopia" korzysta z jakiegoś mechanizmu, funkcji IPS związanego z wyświetlaniem informacji witryny dla grupy "Gość".

W jaki sposób te dane są pobierane do "kopii" nie mam pojęcia.

W tym momencie wyłączyłem dostęp Gość do strony forum i na "kopii" jest widoczny tylko panel logowania / rejestracji (Wygląda to praktycznie dokładnie tak jak na normalnej witrynie kiedy Gość ją otwiera).

 

Jeśli ktoś orientuje się jak ta "kopia" może być tworzona, to proszę o informacje (support IPS umywa ręce odsyłając do hostingu).

 

Pozdrawiam,

julek

 

[aXen]

Mi to wygląda tylko na kopię motywu, która w ostatnich tygodniach się zwiększyła.

[DawPi]

A właśnie to nie coś związanego z domeną? Tzn. z rekordami DNS? Kiedyś był podobny temat. Jak go znajdę to dam znać.

[julekjulek]

2 godziny temu, aXen napisał:

która w ostatnich tygodniach się zwiększyła.

 

To znaczy że znasz jakieś podobne przypadki ?

[julekjulek]

Godzinę temu, DawPi napisał:

Jak go znajdę to dam znać.

 

Będę wdzięczny.

 

Dodam tylko, że zmiana motywu na forum również została odwzorowana na "kopii".

[aXen]

Zawartość postów, tematów, użytkowników jest taka sama?

[julekjulek]

@aXen

zanim wyłączyłem dostęp do forum dla grupy Gość i dla Gościa były ustawione jakieś fora jako widoczne (ewentualnie z możliwością czytania), to widoczna zawartość postów, tematów, użytkowników online była taka sama (działało to jakby było normalnym forum).

 

Teraz wyłączyłem dla Gościa dostęp do forum i na "kopii" zostało to odwzorowane, jest tylko możliwość logowania.

Nie próbowałem na "kopii" logować się z rzeczywistego konta istniejącego na oryginalnym forum.

 

Pozdrawiam,

julek

[DawPi]

Ta kopia była tam z jakimś opóźnieniem czy od razu?

[julekjulek]

Zakładałem testowe, nowe tematy i sprawdzałem czy pojawią się w kopii.

Te nowo założone tematy pojawiały się w kopii po około 2 minutach.

 

[DawPi]

To może jakiś grabber?

[DejaVu24]

@julekjulek Kiedyś miałem ten sam problem, poszukaj w moich tematach, idzie to zablokować po IP. Jak kiedyś czytałem, takie "hakierowanie" już dobrych kilka lat lata. Widocznie sporo treści miałeś i za wysoko byłeś w wyszukiwarkach że zabrali sie za twoją stronę. No chyba że na chwilę obecną idą hurtem z "kopiowaniem" domen.

 

[DawPi]

11 godzin temu, DejaVu24 napisał:

Kiedyś miałem ten sam problem

Właśnie tego szukałem.

 

[julekjulek]

23 godziny temu, DejaVu24 napisał:

Kiedyś miałem ten sam problem, poszukaj w moich tematach, idzie to zablokować po IP.

 

DejaVu24 W temacie który wskazał DawPi napisałeś

Cytat

W sumie ten admin sam dokładnie nie wiedział na czym myk polega, ale domyślał się, że była inna strona ukryta dla gogle która szła przez inną, która udawała gogle bota z ciągłymi zapytaniami czy co tam, wszystko się gdzieś wrzucało w eter, i na koniec ta stronkaklon pobierała dane z tego któregoś ich serwera, bo to działało jak ramka, i wszystkie blokady po ip czy tej domeny nic nie dawały.

Teraz mam tylko nadzieję, że to nie prawdziwe adresy botów gogla mam pododawane w htaccess, bo zniknę z wyszukiwarek :<

Tam na stronie wywala teraz błąd 403, ale coś nie mogę dać swojego pliku błędu co by ładnie wszystkie jego linki przenosiły do mnie 

 

Mógłbyś coś więcej napisać, jak wytypować to IP do zablokowania ?

Wstawiłem do htaccess IP, które "wyśledziłem" no stronie kopii i jak na razie osiągnąłem tylko 

W dniu 11.03.2020 o 11:36, julekjulek napisał:

4. Analizując "kopię" w narzędziach dla programistów, w przeglądarce chrome, w zakładce "Souces / Sources" jest odwołanie do skryptu umieszczonego w katalogu forum /uploads/javascript_core/.

że na "kopii" nie pojawia się odwołanie do skryptów z katalogu /uploads/javascript_core/.

a "kopia" dalej się aktualizuje.

[julekjulek]

Zablokowałem na próbę w .htaccess boty google

deny from 66.249.

i od razu wywaliło "kopię".

Po sprawdzeniu, że kopia jest wywalona odblokowałem google.

Kopia z błędem była przez jakieś 2-3 godziny (nie sprawdzałem dokładnie). Po tym czasie, niestety wznowiła działalność.

Zablokowałem google ponownie, ale "kopia" działa.

Ręce opadają ;-(

 

Pozdrawiam,

julek

[DejaVu24]

To nie były boty googla, ich nie blokuj :<  można przecież sprawdzić które prawdziwe

A IP po prostu pobierałem z logów apacza z hostingu, brałem wycinek 5 minutowy, i to przeglądałem, zapytań w tym czasie miałem mnóstwo to i sprawdzania sporo, ale ogólnie jak dobrze pamiętam w tych logach jest ip jakiś opis, przeglądarki itp, to wiem że szukałem po nazwie "google" czy tam jakieś "search" wrzucałem te IP do googla, i jak IP spamowe to najczęściej już było gdzieś opisane, że to złośliwe ataki, jest trochę tych stronek.

Po jakimś czasie, dosłownie 5 minut i miałem wszystkie nowe strony klonów zablokowane. Bo u mnie to nie był jeden klon w sensie domena podszywająca się, a ze 20 w sumie, przynajmniej  z tyle znalazłem jak dobrze pamiętam. A miałem na to sposób, że tworzyłem Oryginalny temat artykułu, i po kilku dniach po wpisaniu w google, ładnie mi się wyświetlały te wszystkie klony lub wyświetlały sie te które google zaindeksowały. Śmiechem żartem ale większość topowych wyszukiwań gdzie np byłem w pierwszej 10, to czasami klon potrafił być wyżej...

[julekjulek]

Dzięki za informację o sposobie szukania.

Logi z serwera przeglądam, niestety na razie bez powodzenia.

19 godzin temu, DejaVu24 napisał:

Śmiechem żartem ale większość topowych wyszukiwań gdzie np byłem w pierwszej 10, to czasami klon potrafił być wyżej...

Na razie jeszcze tak nie mam, ale klon jest dość blisko za główną stroną.

 

Pozdrawiam,

julek

[DejaVu24]

logi apacza pokazują wszystkie łączenia, to tam jest, jak masz duży ruch na stronie, to ściągnij go z samego rana i wtedy przejrzyj, trochę ułatwia.

Lub zarzuć tutaj w pliku jakiś skrawek kilkuminutowy, z ciekawości przejrzę, chyba mam część zapisanych. Może akurat. 

 

Edytowane 17 Marca 2020 przez DejaVu24

[julekjulek]

15 godzin temu, DejaVu24 napisał:

logi apacza pokazują wszystkie łączenia ...

 

Robiłem próby polegające na niby logowaniu (wpisywałem nieistniejącego użytkownika i hasło) w "kopii" lub wywoływaniu głównej strony.

Następnie sprawdzałem IP w logach dostępowych serwera z kilku minut wstecz i na tej podstawie próbnie blokowałem w .htaccess

 

Niestety jak na razie nie udało mi się trafić na IP intruza.

 

Być może wypracowali jakiś bardziej koronkowy mechanizm funkcjonowania "kopii".

Przyglądając się "kopii" to wygląda, jakby przynajmniej część plików forum IPS było bezpośrednio na jej ftp.

 

Pozdrawiam,

julek

[DejaVu24]

A to nie ma nic do rzeczy, bo to nie działa tylko wtedy jak ktoś wejdzie na fejkową stronę.

Wiem, że po logach i po IP normalnie ten problem rozwiązałem.