Skocz do zawartości
"Idzie nowe..." - o zmianach i nie tylko ×
Przeniesienie zakupów z IPS Marketplace / Moving bought items from IPS Marketplace ×

Rekomendowane odpowiedzi

Opublikowano

Witam, czy ktoś spotkał się z problemem jak niżej.

 

Adres mojej witryny, forum https://www.sat-4-all.com/board/

Jak to jest możliwe, że pod adresem http://regal88my.com/board/ istnieje "kopia"  odwzorowująca na żywo dane z forum.

 

Wydaje się, że kopia odwzorowuje dane dostępne dla grupy Gość.

Przykładowo dodanie nowego tematu, po chwili, jest widoczne w "kopii" (jeśli jest dostępne dla gości).

 

1. Nie zaobserwowałem włamania na FTP forum.

2. Hasło do bazy danych zmieniłem, jak tylko natknąłem się na "kopię" i od razu sprawdzałem czy "kopia" dalej jest na żywo. 

3. W logach na forum i w hostingu nie zaobserwowałem niczego niepokojącego.

4. Analizując "kopię" w narzędziach dla programistów, w przeglądarce chrome, w zakładce "Souces / Sources" jest odwołanie do skryptu umieszczonego w katalogu forum /uploads/javascript_core/.

Zauważyłem, że skrypty w tym katalogu tworzone są przez wejście w panelu admina do "POMOC / Wsparcie techniczne / Wystąpił problem techniczny".

W źródle "kopii" widać odnośniki do jakiś ruskich stron.

 

Mam wrażenie, że "kopia" korzysta z jakiegoś mechanizmu, funkcji IPS związanego z wyświetlaniem informacji witryny dla grupy "Gość".

W jaki sposób te dane są pobierane do "kopii" nie mam pojęcia.

W tym momencie wyłączyłem dostęp Gość do strony forum i na "kopii" jest widoczny tylko panel logowania / rejestracji (Wygląda to praktycznie dokładnie tak jak na normalnej witrynie kiedy Gość ją otwiera).

 

Jeśli ktoś orientuje się jak ta "kopia" może być tworzona, to proszę o informacje (support IPS umywa ręce odsyłając do hostingu).

 

Pozdrawiam,

julek

 

Wszystko jest możliwe :):):) ale na wszystko potrzebny jest czas ;););)

Opublikowano
Godzinę temu, DawPi napisał:

Jak go znajdę to dam znać.

 

Będę wdzięczny.

 

Dodam tylko, że zmiana motywu na forum również została odwzorowana na "kopii".

Wszystko jest możliwe :):):) ale na wszystko potrzebny jest czas ;););)

Opublikowano

@aXen

zanim wyłączyłem dostęp do forum dla grupy Gość i dla Gościa były ustawione jakieś fora jako widoczne (ewentualnie z możliwością czytania), to widoczna zawartość postów, tematów, użytkowników online była taka sama (działało to jakby było normalnym forum).

 

Teraz wyłączyłem dla Gościa dostęp do forum i na "kopii" zostało to odwzorowane, jest tylko możliwość logowania.

Nie próbowałem na "kopii" logować się z rzeczywistego konta istniejącego na oryginalnym forum.

 

Pozdrawiam,

julek

Wszystko jest możliwe :):):) ale na wszystko potrzebny jest czas ;););)

Opublikowano

@julekjulek Kiedyś miałem ten sam problem, poszukaj w moich tematach, idzie to zablokować po IP. Jak kiedyś czytałem, takie "hakierowanie" już dobrych kilka lat lata. Widocznie sporo treści miałeś i za wysoko byłeś w wyszukiwarkach że zabrali sie za twoją stronę. No chyba że na chwilę obecną idą hurtem z "kopiowaniem" domen.

 

Opublikowano
23 godziny temu, DejaVu24 napisał:

Kiedyś miałem ten sam problem, poszukaj w moich tematach, idzie to zablokować po IP.

 

DejaVu24 W temacie który wskazał DawPi napisałeś

Cytat

W sumie ten admin sam dokładnie nie wiedział na czym myk polega, ale domyślał się, że była inna strona ukryta dla gogle która szła przez inną, która udawała gogle bota z ciągłymi zapytaniami czy co tam, wszystko się gdzieś wrzucało w eter, i na koniec ta stronkaklon pobierała dane z tego któregoś ich serwera, bo to działało jak ramka, i wszystkie blokady po ip czy tej domeny nic nie dawały.

Teraz mam tylko nadzieję, że to nie prawdziwe adresy botów gogla mam pododawane w htaccess, bo zniknę z wyszukiwarek :<

Tam na stronie wywala teraz błąd 403, ale coś nie mogę dać swojego pliku błędu co by ładnie wszystkie jego linki przenosiły do mnie :D

 

Mógłbyś coś więcej napisać, jak wytypować to IP do zablokowania ?

Wstawiłem do htaccess IP, które "wyśledziłem" no stronie kopii i jak na razie osiągnąłem tylko 

W dniu 11.03.2020 o 11:36, julekjulek napisał:

4. Analizując "kopię" w narzędziach dla programistów, w przeglądarce chrome, w zakładce "Souces / Sources" jest odwołanie do skryptu umieszczonego w katalogu forum /uploads/javascript_core/.

że na "kopii" nie pojawia się odwołanie do skryptów z katalogu /uploads/javascript_core/.

a "kopia" dalej się aktualizuje.

Wszystko jest możliwe :):):) ale na wszystko potrzebny jest czas ;););)

Opublikowano

Zablokowałem na próbę w .htaccess boty google

deny from 66.249.

i od razu wywaliło "kopię".

Po sprawdzeniu, że kopia jest wywalona odblokowałem google.

Kopia z błędem była przez jakieś 2-3 godziny (nie sprawdzałem dokładnie). Po tym czasie, niestety wznowiła działalność.

Zablokowałem google ponownie, ale "kopia" działa.

Ręce opadają ;-(

 

Pozdrawiam,

julek

  • Lubię to 1

Wszystko jest możliwe :):):) ale na wszystko potrzebny jest czas ;););)

Opublikowano

To nie były boty googla, ich nie blokuj :<  można przecież sprawdzić które prawdziwe

A IP po prostu pobierałem z logów apacza z hostingu, brałem wycinek 5 minutowy, i to przeglądałem, zapytań w tym czasie miałem mnóstwo to i sprawdzania sporo, ale ogólnie jak dobrze pamiętam w tych logach jest ip jakiś opis, przeglądarki itp, to wiem że szukałem po nazwie "google" czy tam jakieś "search" wrzucałem te IP do googla, i jak IP spamowe to najczęściej już było gdzieś opisane, że to złośliwe ataki, jest trochę tych stronek.

Po jakimś czasie, dosłownie 5 minut i miałem wszystkie nowe strony klonów zablokowane. Bo u mnie to nie był jeden klon w sensie domena podszywająca się, a ze 20 w sumie, przynajmniej  z tyle znalazłem jak dobrze pamiętam. A miałem na to sposób, że tworzyłem Oryginalny temat artykułu, i po kilku dniach po wpisaniu w google, ładnie mi się wyświetlały te wszystkie klony :) lub wyświetlały sie te które google zaindeksowały. Śmiechem żartem ale większość topowych wyszukiwań gdzie np byłem w pierwszej 10, to czasami klon potrafił być wyżej...

Opublikowano

Dzięki za informację o sposobie szukania.

Logi z serwera przeglądam, niestety na razie bez powodzenia.

19 godzin temu, DejaVu24 napisał:

Śmiechem żartem ale większość topowych wyszukiwań gdzie np byłem w pierwszej 10, to czasami klon potrafił być wyżej...

Na razie jeszcze tak nie mam, ale klon jest dość blisko za główną stroną.

 

Pozdrawiam,

julek

Wszystko jest możliwe :):):) ale na wszystko potrzebny jest czas ;););)

Opublikowano (edytowane)

logi apacza pokazują wszystkie łączenia, to tam jest, jak masz duży ruch na stronie, to ściągnij go z samego rana i wtedy przejrzyj, trochę ułatwia.

Lub zarzuć tutaj w pliku jakiś skrawek kilkuminutowy, z ciekawości przejrzę, chyba mam część zapisanych. Może akurat. 

 

Edytowane przez DejaVu24
Opublikowano
15 godzin temu, DejaVu24 napisał:

logi apacza pokazują wszystkie łączenia ...

 

Robiłem próby polegające na niby logowaniu (wpisywałem nieistniejącego użytkownika i hasło) w "kopii" lub wywoływaniu głównej strony.

Następnie sprawdzałem IP w logach dostępowych serwera z kilku minut wstecz i na tej podstawie próbnie blokowałem w .htaccess

 

Niestety jak na razie nie udało mi się trafić na IP intruza.

 

Być może wypracowali jakiś bardziej koronkowy mechanizm funkcjonowania "kopii".

Przyglądając się "kopii" to wygląda, jakby przynajmniej część plików forum IPS było bezpośrednio na jej ftp.

 

Pozdrawiam,

julek

Wszystko jest możliwe :):):) ale na wszystko potrzebny jest czas ;););)

Opublikowano

A to nie ma nic do rzeczy, bo to nie działa tylko wtedy jak ktoś wejdzie na fejkową stronę.

Wiem, że po logach i po IP normalnie ten problem rozwiązałem.

 

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę.