こんにちは、Habr!
一年前、私たちは問題に遭遇しました。 簡単に言えば、ハッキングされました。 何が起きているのかすぐに理解できないように、創造的にハッキングしました。 問題を解決する過程で、次のような有用なスキルを習得することが判明しました。 -外国人、リソースのセキュリティにもっと満足し、YandexとGoogleインデックスでサイトの可用性を常に監視し、ささいなことに注意してください。 記載されているケースでは、 通常の記号「-」(ハイフン、マイナス、ダッシュ、ダッシュ、ワンド、ヒピソミヌス)が私たちと残酷な冗談を演じました。
ハッキングの問題に初めて直面しました。最初からいくつかのことが明らかだったかもしれませんが、それらは見られませんでした。または、解決策を見つけるための手順が笑顔になるか、プロの間で誤解を招きます。 あるいは、情報セキュリティの分野で問題に直面している人々にとって、私たちの経験が役に立つかもしれません。
そのため、当社の主なリソースは次の場所にあります: www.ist-budget.ru :独自の永続的なオーディエンス、インデックス化されたページの配列、たとえば組織のディレクトリwww.ist-budget.ru/customers.phpおよびwww.ist-budgetがあります。 ru / supplier.phpには、合計で500万ページ以上が含まれています。 さまざまなインタラクティブな開発の視点など。 リソース、開発、および実験を最適化するために、同じ名前のサンドボックスサイトを使用しますが、ドメインはwww.ist-budget.comです。 サンドボックスは、「外部から」の訪問からは閉鎖されています。 ページをインデックスする検索ボットから。
最初のアラーム信号は、リクエストに応じてGoogleの検索結果のページに表示され始めた2013年6月に始まりましたが、メインリソースに属していませんでしたが、サンドボックスのように見えました。 Komovskyサイト(sandbox)のrobots.txtを確認し、インデックス登録が終了していることを再度確認し、短時間の制限解除時に高速のGoogleがページの一部をインデックス登録できることを提案しました。
そして数日後、より深刻な懸念の理由がありました-RUドメインのメインリソースへの参加が急激に減少し、その結果、サイト訪問者からの着信コールの数が減少しました。 そして再び、検索エンジンでサンドボックスサイトが浮上しましたが、寒い汗が同時に私たちを突き破ったという認識から、私たちは詳しく見て、「サンドボックス」の名前にダッシュがないことを発見しました。 アドレスwww.ist-budget.comがアドレスwww.istbudget.comであったのではなく、このことに注意を払っていなかったことは驚くべきことです。 whoisなどのサービスは、数週間前にサイトが登録されたことを示していました。個人の場合、アメリカのドメインレジストラーCLOUDFLAREとモルドバのホスティング会社 Trabia-Networkが画像を完成させたため、当社の最も経験の浅い人でも非常に明確になりました-このサイトはまったく「サンドボックス」とは関係ありません 。
詳細な分析により、モルダビアの女性のクローンサイトは、メインドメインとサブドメインのページの元のデザイン、構造、コンテンツを完全に保持していることがわかりました。 メインページで指定されたSkypeログインを除いて、連絡先の詳細(アドレス、電話番号、詳細)も変更されていません:istbudget.comはist-budget.ruの代わりに表示されましたが、Skype自体はこのログインを明確に拒否しました(つまり、このログインは登録されています)。
同時に、クローンが新しいページの解析を継続し、メインセクションの情報を更新し続けたため、メインドメインの速度が大幅に低下し始めました。 各「フリーズ」には、有用なユーティリティPing AdminからのSMSが付随し(このユーティリティは最終的に問題の解決に最も重要な役割を果たしました)、サイトのパフォーマンスを常に監視し、フリーズに関する「邪魔な」SMSメッセージの数を数百で測定しました。
判明したように、クローンはすべてのリクエストをプロキシし、返信ではそれ自体へのすべてのリンクを置き換え、ページコードに広告を追加しました。 この問題は、.htaccessファイルを設定することで、つまり行を追加することで解決しました
SetEnvIfNoCase REMOTE_ADDR "^ xxx \ .xxx \。[0-9] + \。[0-9] + $" REDIR = toredir
RewriteCond%{REDIR} ^ toredir $ [NC]
RewriteRule ^(。*)$ Www.ist-budget.com/redir.php?page= $ 1 [R = 301、L]
すべてのプロキシリクエストをフィッシングサイトのアドレスプールから特別なページに送信しました。このページのテキストには、フィッシングサイトにいると記載されており、Google検索で会社名で見つけることができます。 サイトへのすべてのリクエストをプロキシするコードがフィッシングドメインへのすべてのリンクを自動的に置き換えたため、このようなトリックに頼らなければなりませんでした。
また、フィッシングプロキシからの多数のリクエストが、SQLクエリと一部の機能の最適化に関する問題を浮き彫りにしました。 クエリと機能は完全に再設計され、分析ツールとしてXdebugとWebgrindを使用しました。
パフォーマンスは比較的回復しましたが、2つの問題が残っていました。
1.クローンサイトはまだ検索エンジンインデックスにあり、私たちではありません。
2.クローンサイトでは、更新がドメインの更新と同期して発生していましたが、明らかなフリーズがなかったため、さらに混乱が生じました。
そして、答えよりも多くの質問がありました。 それらの1つは次のとおりです。検索エンジンが2つのサイトの完全な複製を決定した場合-なぜ新しいサイトではなく、明らかに古いサイト(ドメインはクローンより3年前に登録されている)からインデックスから除外されるのですか? たとえば、検索エンジン(特にGoogle)の優先順位は常に* .comドメインゾーンのサイトであることが推奨されるため、メインのRUドメインは「なくなった」のです。 また、Googleの技術サポートとのやり取りがありました。 Googleのサポートへの一方向の手紙の流れは通信を呼び出すのが難しいですが、私たちはサイトから制裁が課され、インデックスからの離脱を引き起こしたかどうかを調べようとしました。 返信の手紙はありませんでした。 そして、そこで解決策を探していなかったことが判明しました。
進行中の混乱の中で最も明るい考えは、クローンサイトがホストされているプロバイダーに手紙を書くというアイデアでした。 以前はモルドバのテクニカルサポートに電話をかけました(ところで、彼らはかなり寛容なロシア語を話します)。私たちはロシア語と英語の苦情(このような要件)を作成し、通常の電子メールで送信しました。
_________________________________________
手紙は次のように始まりました。
こんにちは
2013年6月13日、フィッシングサイトwww.istbudget.comが登録されました
データは、それがあなたによってホストされていることを確認します:
IP 178.175.138.11
ホスト:178-175-138-11.ip.as43289.net
都市:キシナウ
国:モルドバ共和国
IP範囲:178.175.128.0-178.175.255.255
プロバイダー名:ICS Trabia-Network SRL
Whoisサーバーバージョン2.0
ドメイン名:ISTBUDGET.COM
レジストラ:SHANGHAI YOVOLE NETWORKS INC。
Whoisサーバー:whois.yovole.com
紹介URL: www.yovole.com
ネームサーバー:ERIC.NS.CLOUDFLARE.COM
ネームサーバー:RUTH.NS.CLOUDFLARE.COM
ステータス:clientTransferProhibited
更新日:2013年6月13日
作成日:2013年6月13日
有効期限:2014年6月13日
...
_________________________________________
答えはすぐに来ました。官僚的な遅延なしで2時間、クローンサイトはブロックされました。クローンサイトのアドレスにアクセスしようとすると、Chromeは指定されたサイトアドレスが存在しないと報告しました。 残念ながら、クローンサイトの所有者に関する情報を提供するリクエストは拒否され、地元のセキュリティ機関へのアピールを通じてこのデータを受信する申し出がありました。 私たちは勝利を祝って家に帰り、朝に...
そして、午前中、私たちの不満に、クローンサイトはサービスに戻りました。 幸いなことに、今回は疑わしいプロキシで中国のどこかではなく、アメリカのドメインレジストラで直接ホストされていました。 私たちはすでに確立されたスキームに従いました-ドメインレジストラの不正使用に関する苦情を送信し、数時間以内に、今回はサイトが再びブロックされました-恒久的に。
一般に、プロバイダーとドメインレジストラの迅速な対応は、満足のいくものでした。 追加の質問や困難がなければ、望ましい結果が得られました。 そして、クローンの「死」の瞬間から2〜3日が経過し、サイトが再び検索エンジンのインデックスに戻ると予想されていましたが、検索結果にはクローンサイトのページが残っていました。リソースがこのアドレスに存在しないこと。 また、YandexとGoogleをサポートするための手紙を書きました。 Yandexのウェブマスターで手紙を作成することはできませんでした。したがって、彼らは単に自由形式でテクニカルサポートを作成しました。
問題の解決策は偶然発見されたものであり、努力が行われた場所ではありません。サイトがクラッシュしたときにPing AdminユーティリティがSMSメッセージの送信を停止しました。 これに注意を払い、サービスの個人アカウントにアクセスし、残高を確認しました(プラスでした)。PingAdminが数日間アクセスできないとサイトを定義していることがわかりました。 サポートサービスに手紙を書き、エラーを報告し、それに応答して、メインドメインが検索ロボットの301番目のリダイレクトをKomovsky寄生虫サイトのアドレスにそれぞれ与えるとテクニカルサポートから報告された手紙を受け取りました。このドメインが新しいクローンサイトのマイナーミラーであることを示すシグナル。
301リダイレクトのおかげで、Yandexの「ミラー」は»メインドメインを新しい偽のドメインに正常に接着しました。そのため、クローンサイトのインデックスが作成され、メインリソースではなく検索結果に表示されました。
脆弱性を見つけて修正し、簡単に降りてリダイレクトを削除し、コードの間違った手によって登録されたことを喜んでいます。 ところで、偽のコードはeval(base64_encode())を呼び出すことで簡単に見つかりました。
30分以内に、メインドメインは少し後にGoogleインデックスに戻り、Yandexに戻りました。 そして、これは全く異なる話です。
スタートアップが一晩でインデックスから飛び出す方法
All Articles