Domain Hijacked? Redirecionamento de URL somente no google e não no domínio.

[ZioNN 0]

O domínio de um cliente, quando acessado pela busca do Google está redirecionando para um site xxx, porém quando acessamos diretamente a URL pelo navegador, ele carrega normalmente o site. O que pode estar acontecendo? Como resolver?

[DigRam 144]

/_ Olá! ZioNN _\

 

Se o navegador for o Firefox,utilize o GooredFix.

 

A+

[Lord Enigm@ 34]

Em 22/02/2017 at 15:12, ZioNN disse:

O domínio de um cliente, quando acessado pela busca do Google está redirecionando para um site xxx, porém quando acessamos diretamente a URL pelo navegador, ele carrega normalmente o site. O que pode estar acontecendo? Como resolver?

 

Olá.

 

Embora faça tempo que seu questionamento foi postado, e, o tenha vista somente agora; isso é um redirecionamento provocado por um inject.

 

Você já deve ter resolvido isso portanto o que eu lhe aconselho é mudar o domínio ou então pedir resguardo quanto isso junto ao seu provedor.

 

De facto um inject possa estar inserido no domínio ou no host hospedeiro. Para resolver isso, uma boa suite de segurança e boas prácticas já resolvem.

 

Se ainda precisar de auxilio estamos por aqui.

 

[ ]'s

[ZioNN 0]

Olá Lord, desculpe, realmente o host já havia resolvido o problema, mas gostaria de entender melhor como isso funciona e quais as precauções que devo tomar para evitar a reincidência. Hoje de manhã, um outro site nosso foi hackeado. Ao acessar a URL, ele carregava uma página com um conteúdo estranho, mas mostrava a nossa URL no navegador. Tentei deletando todos os arquivos de entrada do FTP no host atingido e substituindo pelo meu back-up e nada. O redirecionamento não está sendo feito nos meus arquivos. Aliás, todos eles estão intactos, com a mesma data da última atualização.

Em tempo, todas as pessoas que acessaram o site em questão estão sendo igualmente redirecionadas e vendo a página de hack

Como é feito isso? O que faço pra evitar novos casos? Onde estão as brechas, na minha aplicação ou no host (Locaweb)?

Muito obrigado pela ajuda

[ZioNN 0]

DigRam, obrigado pela ajuda, mas acho que não expliquei direito. Pelo que vi, esse Gooredfix resolve o problema quando o redirecionamento ocorre na minha máquina apenas, uma infecção local. Mas esse redirecionamento que eu estou mencionando acontecia com todo mundo que acessava essa URL pelo resultado de busca do google, não só comigo. Isso muda o quadro?

[Lord Enigm@ 34]

Olá !

 

Em 15/05/2017 at 10:46, ZioNN disse:

Hoje de manhã, um outro site nosso foi hackeado. Ao acessar a URL, ele carregava uma página com um conteúdo estranho, mas mostrava a nossa URL no navegador. Tentei deletando todos os arquivos de entrada do FTP no host atingido e substituindo pelo meu back-up e nada. O redirecionamento não está sendo feito nos meus arquivos. Aliás, todos eles estão intactos, com a mesma data da última atualização.

 

 

Parece que você está sofrendo ataque de redirecionamento arbitrário, onde alguém está manipulando a URL com algum otimizador de busca ou então o código web não está seguro permitindo o atacante redirecionar.

 

Verifique as aplicações nos fontes, veja se não houve alguma modificação, verifique os logs nos servidores e veja se não houve alguma incursão; o fato dos arquivos (ainda) estarem intactos não significa que não houve incursão e deixaram um  backdoor para uma nova visita.

Verifique o DNS para ver se não foi comprometido também

 

[ ]'s

[ZioNN 0]

Olá Lord, estudando mais a fundo descobri que um script em javascript foi inserido no banco de dados. O invasor teve acesso à área administrativa e alterou uma das notícias da home-page do site, incluindo uma linha de código "<script src=""> </script" que carregava uma página externa. Um DEFACE. Ao remover essa linha do banco de dados, tudo voltou a funcionar.

O sistema administrativo deste site possui filtros para SQL Injection na tela de login e em todas as URLs onde algum parâmetro é passado por URL. Não consegui ainda descobrir como o hacker fez a invasão. Segurança não é minha área e estou tentando reunir informações para entender o procedimento e aprender a evitar que isso aconteça novamente.

Entrei em vários sites e foruns de hackers, e canais do youtube, vi que eles usam uma extensão para o Firefox (NoRedirect) para invadir áreas adms e fazer um DEFACE, e testei no meu site, pra ver se foi assim que eles entraram, e não funcionou, então acredito que não foi assim que ele fizeram.

Vocês teriam alguma dica pra me dar, o que estudar, o que procurar, alguma pista pra eu seguir e aprender a evitar isso?

Agradeço


 

[AlcheMistx 0]

Olá ZioNN  

É recomendado você trocar sua Host.

[ZioNN 0]

AlcheMistx, obrigado pela sugestão, mas este cliente possui diversas aplicações neste host, de diversos fornecedores diferentes, e migrá-las seria um enorme transtorno.

[Lord Enigm@ 34]

Olá !

 

21 horas atrás, ZioNN disse:

Olá Lord, estudando mais a fundo descobri que um script em javascript foi inserido no banco de dados. O invasor teve acesso à área administrativa e alterou uma das notícias da home-page do site, incluindo uma linha de código "<script src=""> </script" que carregava uma página externa. Um DEFACE. Ao remover essa linha do banco de dados, tudo voltou a funcionar.

O sistema administrativo deste site possui filtros para SQL Injection na tela de login e em todas as URLs onde algum parâmetro é passado por URL. Não consegui ainda descobrir como o hacker fez a invasão. Segurança não é minha área e estou tentando reunir informações para entender o procedimento e aprender a evitar que isso aconteça novamente.

 

 

19 horas atrás, AlcheMistx disse:

Olá ZioNN  

É recomendado você trocar sua Host.

 

De facto mudar de host não é o melhor caminho, além da trabalheira não irá resolver o problema que se encontra na aplicação Web ou no SGBD; tanto que ele não teve problemas com outras aplicações, por enquanto.

 

@ZioNN o melhor que o seu cliente tem que fazer é rever a interface Web e as consultas no BD, pois provavelmente existe uma falha.

 

Segue um link para exemplificar:

 

http://www.devmedia.com.br/sql-injection-em-ambientes-web/9733

 

Outra possibilidade é verificar/certificar que os servidores não foram invadidos e existe algum backdoor instalado, por isso disse anteriormente para verificar essa possibilidade acessando os logs dos servidores.

 

Revejam os códigos 

 

[ ]'s

[DigRam 144]

< ZioNN >

 

Mude de Host pois,pelo que vi,a Locaweb está apresentando "brechas" de segurança.

Ps: O Forumeiros.com também tinha estes problemas,mas já foi corrigido e nunca mais foi invadido. Não sei qual medida eles tomaram,pois não me disseram.

 

[]s

[Lord Enigm@ 34]

@ZioNN

 

Não se permeie em Hoax na rede.

 

Acredito que você já tenha resolvido essa questão e os códigos de seus clientes, conforme lhe expliquei..

 

Mudar de Host realmente é impertinente e não condiz com nossa realidade.

Se você já resolveu a questão, seria de muito bom grado postar aká para nós como fizestes anteriormente.

 

Caso contrário, estamos aká para lhe ajudar. Embora...

 

Só para deixar bem claro e esclarecer as coisas por aká, para todos que leiam este tópico, é de facto que o Localweb teve os seus problemas, assim como todos inclusive o At&t também os tiveram; ninguém fala que foi hackeado e perderam milhares de senhas e logins.... lá pelas bandas de 2010/2013, logo depois dos problemas com a Localweb, não é mesmo?  Aká, no iMaster tivemos alguns problemas também.  Quem não os teve?? ;)

Qualquer dúvida estamos por aqui !! 

 

Grande abraço,  @ZioNN

[ZioNN 0]

Olá pessoal, agradeço muito a ajuda e comentários de todos. No fim das contas não identifiquei como ocorreu a invasão, mas revi todos os scripts de SQL Injection, e onde eles eram aplicados, e criei mais uma barreira de proteção para exclusivamente evitar o DEFACE, validando tudo que é gravado no BD em formato string. Mesmo que ele consiga invadir novamente, não conseguirá injetar um script dentro do BD. Foi o que consegui fazer e até o momento não houve nova invasão.

 

Abraços

[Lord Enigm@ 34]

@ZioNN

 

Legal cara, obrigado pelo feedback e boa sorte ai.

 

Qualquer coisa estamos aká.

 

[ ]'s