Как найти вредоносную ссылку на просторах большого сайта?

12
ДБ
На сайте с 24.01.2015
Offline
46
4559

Началось все с того, что наш сайт real-investment.ru заблокировали в соц.сети Вконтакте. Суть блокировки в том, что при переходе из соц сети по ссылке нашего сайта, вылазит окно с сообщением "Вы пытаетесь перейти на сайт, который ворует логины и пароли Вконтакте...". Мы очень напряглись по этому поводу и начали искать, но не мы, ни какие бы то ни было автоматизированные сервисы по поиску вирусов/кодов ничего не нашли. (Впрочем, искали не так усердно, так как не специалисты в компьютерной безопасности).

В общем, мы ничего не нашли. Поэтому решили, что нас заблокировали ошибочно и начали качать права в поддержку ВК. Нам там снова ответили, что "Мы вас перепроверили вручную и никакой ошибки нет, ваша блокировка вечна". После еще нескольких дней выяснения за что блокировка и как именно мы воруем пароли, нам пояснили "Вы до сих пор не исправили: real-investment.ru/go?http://44545.ru . Пожалуйста, проверьте сайт более внимательно."

Понятное дело, указанный сайт фишинговый. Появилась конкретика, но даже зная адрес, на который ссылается наш же сайт, мы не смогли найти какая именно страница ссылается :( И мы не знаем, в каком виде может быть эта ссылка.

Коллеги, помогите пожалуйста найти вредоносную ссылку или подскажите сервис, который сможет это сделать. Поддержка Вконтакте отвечает очень коротко и неохотно. Возможно ссылка в виде html кода, возможно в виде JS, может вообще ее генерирует безобидный с первого взгляда скрипт для меню или баннер.

P.S. Как выглядит окно блокировки можно увидеть, кликнув на ссылку из обсуждения ВК: https://vk.com/topic-25741194_33991469

Мой блог об инвестировании: http://real-investment.net
RiDDi
На сайте с 06.06.2010
Offline
257
#1

Вы разрешаете редиректы на любые сайты.

То есть выступаете как бы посредником для мошенников пряча их урлы за своим.

real-investment.ru/go?любой сайт

Эту возможность необходимо убрать.

Ну и в целом в настоящее время многие сервисы придерживаются политики перманентного бана без возможности восстановления. То есть один раз ошибся, взломали или ещё что - и всё.

И это, в принципе, правильно.

Поэтому если у Вас "большой сайт", то надо позаботиться о "специалисте по компьютерной безопасности".

Вебмастер отдыхает на бережках морей. Заработок в интернете - дело техники.
adel92
На сайте с 04.01.2012
Offline
334
#2

Да тут простой порядок действий:

ищем грепом по файлам, в директории сайта, выполняем команду:

grep -rl "имя_плохого_сайта" .

Потом ищем тоже самое в БД, например через phpMyAdmin

Если ничего нет, значит ссылка может быть закодирована например в base64 - тут Вам прийдет на помощь ai-bolit в параноидальном режиме, аккуратно удалять все вкрапления base64, которых не должно быть

NVMe VDS (https://well-web.net/nvme-vps) с поддержкой 24/7 - от 545 руб.! Безлимитный хостинг (https://well-web.net/ssd-hosting) - от 129 руб.! Домен в подарок! Перенос бесплатно! Заказывайте сейчас, и получите скидку 50%! Заходи! (https://well-web.net/limited-offers)
donc
На сайте с 16.01.2007
Offline
637
#3

Xenu для начала пройдитесь по сайту, может чего и вылезет в каментах.

А на этом SEO-форуме поиск работает (http://webimho.ru/) :) Продвижение сайтов от 25 000 в мес, прозрачно, надежно (/ru/forum/818412), но не быстро, отзывы (http://webimho.ru/topic/3225/)
SeVlad
На сайте с 03.11.2008
Online
1412
#4
donc:
Xenu для начала пройдитесь по сайту,

Лишняя работе без гарантии результата :)

Нужно просто удалить эту дыру - `/go?`

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
donc
На сайте с 16.01.2007
Offline
637
#5

SeVlad, там много чего нужно, но для начала просто узнать, что вообще творится на сайте.

Это если машина непонятно начинает греметь, нужно и масло сменить, но полная диагностика не помешает.

ДБ
На сайте с 24.01.2015
Offline
46
#6
donc:
Xenu для начала пройдитесь по сайту, может чего и вылезет в каментах.

У меня хостинг на ucoz блокирует сайт на 3 часа после сканирования xenu. Слишком много или часто запросов шлет, даже в 1-потоковом режиме. Настраивать паузы пока не пробовал. Долго.

---------- Добавлено 13.02.2017 в 02:25 ----------

RiDDi:
Вы разрешаете редиректы на любые сайты.
То есть выступаете как бы посредником для мошенников пряча их урлы за своим.
real-investment.ru/go?любой сайт

Эту возможность необходимо убрать.

Ну и в целом в настоящее время многие сервисы придерживаются политики перманентного бана без возможности восстановления. То есть один раз ошибся, взломали или ещё что - и всё.
И это, в принципе, правильно.
Поэтому если у Вас "большой сайт", то надо позаботиться о "специалисте по компьютерной безопасности".

Эту возможность может использовать только администратор, модератор или редактор. Это не случайные люди. Но правда недавно работал фрилансер с доступом в админку, на него пока думаю. Что где-то спрятал в статьях.

Редирект go? решили использовать, как простейшую альтернативу nofollow

Если редирект отключать, то все равно нужно каждую статью изменять.

Да, бан похоже уже не снять, но хотя бы урок бы получить. Может у нас не только эта вредоносная ссылка есть, а что-то еще. Как это все найти, если они через go?

---------- Добавлено 13.02.2017 в 02:28 ----------

RiDDi:
Поэтому если у Вас "большой сайт", то надо позаботиться о "специалисте по компьютерной безопасности".

У нас нет возможности даже иметь постоянного админа сайта. Я сам себе администратор и автор сайта, но не на все руки. Сайт большой в плане статей, это имелось в виду. Хотя бывает и еще больше.

---------- Добавлено 13.02.2017 в 02:29 ----------

adel92:
Да тут простой порядок действий:
ищем грепом по файлам, в директории сайта, выполняем команду:

grep -rl "имя_плохого_сайта" .

Потом ищем тоже самое в БД, например через phpMyAdmin

Если ничего нет, значит ссылка может быть закодирована например в base64 - тут Вам прийдет на помощь ai-bolit в параноидальном режиме, аккуратно удалять все вкрапления base64, которых не должно быть

Я не спец в этих вещах, но спасибо. Попробую разобраться.

langemark
На сайте с 11.09.2009
Offline
135
#7
Дмитрий Бергер:
Началось все с того, что наш сайт real-investment.ru заблокировали в соц.сети Вконтакте. Суть блокировки в том, что при переходе из соц сети по ссылке нашего сайта, вылазит окно с сообщением "Вы пытаетесь перейти на сайт, который ворует логины и пароли Вконтакте...". Мы очень напряглись по этому поводу и начали искать, но не мы, ни какие бы то ни было автоматизированные сервисы по поиску вирусов/кодов ничего не нашли. (Впрочем, искали не так усердно, так как не специалисты в компьютерной безопасности).

В общем, мы ничего не нашли. Поэтому решили, что нас заблокировали ошибочно и начали качать права в поддержку ВК. Нам там снова ответили, что "Мы вас перепроверили вручную и никакой ошибки нет, ваша блокировка вечна". После еще нескольких дней выяснения за что блокировка и как именно мы воруем пароли, нам пояснили "Вы до сих пор не исправили: real-investment.ru/go?http://44545.ru . Пожалуйста, проверьте сайт более внимательно."

Понятное дело, указанный сайт фишинговый. Появилась конкретика, но даже зная адрес, на который ссылается наш же сайт, мы не смогли найти какая именно страница ссылается :( И мы не знаем, в каком виде может быть эта ссылка.

Коллеги, помогите пожалуйста найти вредоносную ссылку или подскажите сервис, который сможет это сделать. Поддержка Вконтакте отвечает очень коротко и неохотно. Возможно ссылка в виде html кода, возможно в виде JS, может вообще ее генерирует безобидный с первого взгляда скрипт для меню или баннер.

P.S. Как выглядит окно блокировки можно увидеть, кликнув на ссылку из обсуждения ВК: https://vk.com/topic-25741194_33991469

Можно попробовать прогой search and replace проверить все файлы сайта на наличие куска кода с бякой

Да прибудет с вами сила... (https://starwars.su)
L
На сайте с 25.12.2013
Offline
270
#8

Найдите в Яндексе бесплатный скрипт Айболит и проверьте им свой сайт. Он вам выдаст множество замечаний и, возможно, покажет откуда у вируса ноги растут. Будет над чем поработать.

Недорогой, надежный и отзывчивый VPS хостинг (http://goo.gl/sSkvjr) Нужно быстро и недорого вывести крипту? Легко! (http://goo.gl/yi4LRb)
SeVlad
На сайте с 03.11.2008
Online
1412
#9
Дмитрий Бергер:
Эту возможность может использовать только администратор, модератор или редактор.

Это они в контенте прописать могут что хотят. А воспользоваться такой дырой может кто угодно. Не смогут, только если адреса целевых сайтов будут браться из базы, а другие работать не будут.

А у тебя этого нет.

ДБ
На сайте с 24.01.2015
Offline
46
#10
SeVlad:
Это они в контенте прописать могут что хотят. А воспользоваться такой дырой может кто угодно. Не смогут, только если адреса целевых сайтов будут браться из базы, а другие работать не будут.
А у тебя этого нет.

Огромное спасибо. До меня только что дошло!

Думаю проблема именно в этом. Любой злоумышленник может использовать мой открытый редирект, а вину можно повесить на меня.

---------- Добавлено 15.02.2017 в 23:41 ----------

RiDDi:
Вы разрешаете редиректы на любые сайты.
То есть выступаете как бы посредником для мошенников пряча их урлы за своим.
real-investment.ru/go?любой сайт

Эту возможность необходимо убрать.

И вам огромное спасибо. Вы с самого начала были правы! Я просто не понял

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий