Jump to content

Hosting dHosting.pl - 10% rabat!

julekjulek

Nielegalne odwzorowanie forum w innej domenie.

Recommended Posts

Witam, czy ktoś spotkał się z problemem jak niżej.

 

Adres mojej witryny, forum https://www.sat-4-all.com/board/

Jak to jest możliwe, że pod adresem http://regal88my.com/board/ istnieje "kopia"  odwzorowująca na żywo dane z forum.

 

Wydaje się, że kopia odwzorowuje dane dostępne dla grupy Gość.

Przykładowo dodanie nowego tematu, po chwili, jest widoczne w "kopii" (jeśli jest dostępne dla gości).

 

1. Nie zaobserwowałem włamania na FTP forum.

2. Hasło do bazy danych zmieniłem, jak tylko natknąłem się na "kopię" i od razu sprawdzałem czy "kopia" dalej jest na żywo. 

3. W logach na forum i w hostingu nie zaobserwowałem niczego niepokojącego.

4. Analizując "kopię" w narzędziach dla programistów, w przeglądarce chrome, w zakładce "Souces / Sources" jest odwołanie do skryptu umieszczonego w katalogu forum /uploads/javascript_core/.

Zauważyłem, że skrypty w tym katalogu tworzone są przez wejście w panelu admina do "POMOC / Wsparcie techniczne / Wystąpił problem techniczny".

W źródle "kopii" widać odnośniki do jakiś ruskich stron.

 

Mam wrażenie, że "kopia" korzysta z jakiegoś mechanizmu, funkcji IPS związanego z wyświetlaniem informacji witryny dla grupy "Gość".

W jaki sposób te dane są pobierane do "kopii" nie mam pojęcia.

W tym momencie wyłączyłem dostęp Gość do strony forum i na "kopii" jest widoczny tylko panel logowania / rejestracji (Wygląda to praktycznie dokładnie tak jak na normalnej witrynie kiedy Gość ją otwiera).

 

Jeśli ktoś orientuje się jak ta "kopia" może być tworzona, to proszę o informacje (support IPS umywa ręce odsyłając do hostingu).

 

Pozdrawiam,

julek

 


Wszystko jest możliwe :):):) ale na wszystko potrzebny jest czas ;););)

Share this post


Link to post
Share on other sites

Mi to wygląda tylko na kopię motywu, która w ostatnich tygodniach się zwiększyła.

Share this post


Link to post
Share on other sites

A właśnie to nie coś związanego z domeną? Tzn. z rekordami DNS? Kiedyś był podobny temat. Jak go znajdę to dam znać.


intermedia - profesjonalne rozwiązania Invision Power Board

---

Chcesz uzyskać szybko i sprawnie pomoc? Uzupełnij wersję i adres w profilu.

Share this post


Link to post
Share on other sites
2 godziny temu, aXen napisał:

która w ostatnich tygodniach się zwiększyła.

 

To znaczy że znasz jakieś podobne przypadki ?


Wszystko jest możliwe :):):) ale na wszystko potrzebny jest czas ;););)

Share this post


Link to post
Share on other sites
Godzinę temu, DawPi napisał:

Jak go znajdę to dam znać.

 

Będę wdzięczny.

 

Dodam tylko, że zmiana motywu na forum również została odwzorowana na "kopii".


Wszystko jest możliwe :):):) ale na wszystko potrzebny jest czas ;););)

Share this post


Link to post
Share on other sites

Zawartość postów, tematów, użytkowników jest taka sama?

Share this post


Link to post
Share on other sites

@aXen

zanim wyłączyłem dostęp do forum dla grupy Gość i dla Gościa były ustawione jakieś fora jako widoczne (ewentualnie z możliwością czytania), to widoczna zawartość postów, tematów, użytkowników online była taka sama (działało to jakby było normalnym forum).

 

Teraz wyłączyłem dla Gościa dostęp do forum i na "kopii" zostało to odwzorowane, jest tylko możliwość logowania.

Nie próbowałem na "kopii" logować się z rzeczywistego konta istniejącego na oryginalnym forum.

 

Pozdrawiam,

julek


Wszystko jest możliwe :):):) ale na wszystko potrzebny jest czas ;););)

Share this post


Link to post
Share on other sites

Ta kopia była tam z jakimś opóźnieniem czy od razu?


intermedia - profesjonalne rozwiązania Invision Power Board

---

Chcesz uzyskać szybko i sprawnie pomoc? Uzupełnij wersję i adres w profilu.

Share this post


Link to post
Share on other sites

Zakładałem testowe, nowe tematy i sprawdzałem czy pojawią się w kopii.

Te nowo założone tematy pojawiały się w kopii po około 2 minutach.

 


Wszystko jest możliwe :):):) ale na wszystko potrzebny jest czas ;););)

Share this post


Link to post
Share on other sites

To może jakiś grabber?


intermedia - profesjonalne rozwiązania Invision Power Board

---

Chcesz uzyskać szybko i sprawnie pomoc? Uzupełnij wersję i adres w profilu.

Share this post


Link to post
Share on other sites

@julekjulek Kiedyś miałem ten sam problem, poszukaj w moich tematach, idzie to zablokować po IP. Jak kiedyś czytałem, takie "hakierowanie" już dobrych kilka lat lata. Widocznie sporo treści miałeś i za wysoko byłeś w wyszukiwarkach że zabrali sie za twoją stronę. No chyba że na chwilę obecną idą hurtem z "kopiowaniem" domen.

 

Share this post


Link to post
Share on other sites
11 godzin temu, DejaVu24 napisał:

Kiedyś miałem ten sam problem

Właśnie tego szukałem. :)

 


intermedia - profesjonalne rozwiązania Invision Power Board

---

Chcesz uzyskać szybko i sprawnie pomoc? Uzupełnij wersję i adres w profilu.

Share this post


Link to post
Share on other sites
23 godziny temu, DejaVu24 napisał:

Kiedyś miałem ten sam problem, poszukaj w moich tematach, idzie to zablokować po IP.

 

DejaVu24 W temacie który wskazał DawPi napisałeś

Cytat

W sumie ten admin sam dokładnie nie wiedział na czym myk polega, ale domyślał się, że była inna strona ukryta dla gogle która szła przez inną, która udawała gogle bota z ciągłymi zapytaniami czy co tam, wszystko się gdzieś wrzucało w eter, i na koniec ta stronkaklon pobierała dane z tego któregoś ich serwera, bo to działało jak ramka, i wszystkie blokady po ip czy tej domeny nic nie dawały.

Teraz mam tylko nadzieję, że to nie prawdziwe adresy botów gogla mam pododawane w htaccess, bo zniknę z wyszukiwarek :<

Tam na stronie wywala teraz błąd 403, ale coś nie mogę dać swojego pliku błędu co by ładnie wszystkie jego linki przenosiły do mnie :D

 

Mógłbyś coś więcej napisać, jak wytypować to IP do zablokowania ?

Wstawiłem do htaccess IP, które "wyśledziłem" no stronie kopii i jak na razie osiągnąłem tylko 

W dniu 11.03.2020 o 11:36, julekjulek napisał:

4. Analizując "kopię" w narzędziach dla programistów, w przeglądarce chrome, w zakładce "Souces / Sources" jest odwołanie do skryptu umieszczonego w katalogu forum /uploads/javascript_core/.

że na "kopii" nie pojawia się odwołanie do skryptów z katalogu /uploads/javascript_core/.

a "kopia" dalej się aktualizuje.


Wszystko jest możliwe :):):) ale na wszystko potrzebny jest czas ;););)

Share this post


Link to post
Share on other sites

Zablokowałem na próbę w .htaccess boty google

deny from 66.249.

i od razu wywaliło "kopię".

Po sprawdzeniu, że kopia jest wywalona odblokowałem google.

Kopia z błędem była przez jakieś 2-3 godziny (nie sprawdzałem dokładnie). Po tym czasie, niestety wznowiła działalność.

Zablokowałem google ponownie, ale "kopia" działa.

Ręce opadają ;-(

 

Pozdrawiam,

julek

  • Like 1

Wszystko jest możliwe :):):) ale na wszystko potrzebny jest czas ;););)

Share this post


Link to post
Share on other sites

To nie były boty googla, ich nie blokuj :<  można przecież sprawdzić które prawdziwe

A IP po prostu pobierałem z logów apacza z hostingu, brałem wycinek 5 minutowy, i to przeglądałem, zapytań w tym czasie miałem mnóstwo to i sprawdzania sporo, ale ogólnie jak dobrze pamiętam w tych logach jest ip jakiś opis, przeglądarki itp, to wiem że szukałem po nazwie "google" czy tam jakieś "search" wrzucałem te IP do googla, i jak IP spamowe to najczęściej już było gdzieś opisane, że to złośliwe ataki, jest trochę tych stronek.

Po jakimś czasie, dosłownie 5 minut i miałem wszystkie nowe strony klonów zablokowane. Bo u mnie to nie był jeden klon w sensie domena podszywająca się, a ze 20 w sumie, przynajmniej  z tyle znalazłem jak dobrze pamiętam. A miałem na to sposób, że tworzyłem Oryginalny temat artykułu, i po kilku dniach po wpisaniu w google, ładnie mi się wyświetlały te wszystkie klony :) lub wyświetlały sie te które google zaindeksowały. Śmiechem żartem ale większość topowych wyszukiwań gdzie np byłem w pierwszej 10, to czasami klon potrafił być wyżej...

Share this post


Link to post
Share on other sites

Dzięki za informację o sposobie szukania.

Logi z serwera przeglądam, niestety na razie bez powodzenia.

19 godzin temu, DejaVu24 napisał:

Śmiechem żartem ale większość topowych wyszukiwań gdzie np byłem w pierwszej 10, to czasami klon potrafił być wyżej...

Na razie jeszcze tak nie mam, ale klon jest dość blisko za główną stroną.

 

Pozdrawiam,

julek


Wszystko jest możliwe :):):) ale na wszystko potrzebny jest czas ;););)

Share this post


Link to post
Share on other sites
Posted (edited)

logi apacza pokazują wszystkie łączenia, to tam jest, jak masz duży ruch na stronie, to ściągnij go z samego rana i wtedy przejrzyj, trochę ułatwia.

Lub zarzuć tutaj w pliku jakiś skrawek kilkuminutowy, z ciekawości przejrzę, chyba mam część zapisanych. Może akurat. 

 

Edited by DejaVu24

Share this post


Link to post
Share on other sites
15 godzin temu, DejaVu24 napisał:

logi apacza pokazują wszystkie łączenia ...

 

Robiłem próby polegające na niby logowaniu (wpisywałem nieistniejącego użytkownika i hasło) w "kopii" lub wywoływaniu głównej strony.

Następnie sprawdzałem IP w logach dostępowych serwera z kilku minut wstecz i na tej podstawie próbnie blokowałem w .htaccess

 

Niestety jak na razie nie udało mi się trafić na IP intruza.

 

Być może wypracowali jakiś bardziej koronkowy mechanizm funkcjonowania "kopii".

Przyglądając się "kopii" to wygląda, jakby przynajmniej część plików forum IPS było bezpośrednio na jej ftp.

 

Pozdrawiam,

julek


Wszystko jest możliwe :):):) ale na wszystko potrzebny jest czas ;););)

Share this post


Link to post
Share on other sites

A to nie ma nic do rzeczy, bo to nie działa tylko wtedy jak ktoś wejdzie na fejkową stronę.

Wiem, że po logach i po IP normalnie ten problem rozwiązałem.

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.