Сегодня как ни в чём не бывало я просыпаюсь и наблюдаю картину, со всех моих сайтов, размещённых на хостинге TimeWeb, происходят редиректы ( 6-8 шт. ) на разнообразные ресурсы, в конечном итоги все они ведут на данный сайт: https://go-vc1yb.com – это казино вулкан.
IP адрес – 203.24.103.115
Все сайты расположенные на данном IP:
- 1 a.go-vc1yb.com
- 2 adminko.vulcan-casino.xyz
- 3 agame.go-vc1yb.com
- 4 agamedemo.go-vc1yb.com
- 5 agamefun.go-vc1yb.com
- 6 async-betting.go-vc1yb.com
- 7 cdn-betting.go-vc1yb.com
- 8 cdn.vulcan-casino.xyz
- 9 dc.go-vc1yb.com
- 10 ev-hhs.go-vc1yb.com
- 11 front-betting.go-vc1yb.com
- 12 go-vc1yb.com
- 13 graphql-betting.go-vc1yb.com
- 14 hhs.go-vc1yb.com
- 15 login4play.go-vc1yb.com
- 16 sgame.go-vc1yb.com
- 17 sgamedemo.go-vc1yb.com
- 18 sgamefun.go-vc1yb.com
- 19 strip.go-vc1yb.com
- 20 vulcan-casino.xyz
- 21 www.go-vc1yb.com
- 22 www.vulcan-casino.xyz
- 23 yhelper.go-vc1yb.com
Начал изучать данную ситуацию, каким образом происходят все эти редиректы, и обнаружил следующее…
Во всех файлах index.php и index.html прописался данный скрипт, который и имеет отношение к редиректу на сторонний URL.
Далее что бы удалить данный скрипт со всех файлов я скачал все файлы с хостинга, после чего просканировал данный код по всем файлам программой @Text Replacer – а так же сделал замену данного скрипта на пустое значение, тем самым избавился от данного скрипта во всех файлах.
Загрузил очищенные от скрипта фалы обратно на хостинг…
Ситуация не изменилась, сайт по прежнему делал редиректы на сторонний ресурс.
Начал изучать таблицы баз данных MySql и обнаружил в базе данных следующее
Сторонний ресурс был прописан как сайт по умолчанию, и поэтому продолжал делать редиректы, на сторонние ресурсы.
Заменил ссылки на свой прежний сайт.
Так же изучив базу данных, я обнаружил ещё много строк с подобным кодом, который я просто аккуратно удалил.
После всей этой чистки, сайт снова начал работать, редиректов больше не наблюдается.
Не долго музыка играла… Спустя какое то время все файлы снова были заражены редиректами.
Решил сохранить все файлы с хостинга, в том числе и базы данных.
Почистил все файлы баз данных, и импортировал их обратно на хостинг, установил заново CMS WordPress, подключил базу данных, и постепенно загружал все плагины только не те которые я сохранил с хостинга, а скачивал заново с других источников.
После чего зашёл в раздел постоянные ссылки, прописал произвольные ссылки /%category%/%postname%/ как у меня и было ранее. Если не настроить произвольные ссылки таким образом как это было, записи и страницы не будут отображаться.
Установил и активировал все плагины, и всё заработало как обычно, в этот раз уже точно всё получилось! Проблем не наблюдаю, восстанавливаю 3 сайт…
Хочу добавить, после изменения произвольных ссылок и установки плагинов – рекомендую переустановить CMS WordPress что бы все изменения были применены и всё прописалось в базе данных.
Кстати тех поддержка в TimeWeb не смогла решить данную проблему, даже не попыталась… Они сделали только сканирование всех файлов с помощью AI-bolit, и выслали ссылки на отчёты, где были указаны файлы, в которых находился данный скрипт.
Для меня всё ещё остаётся загадкой, каким образом они прошли ко мне в базу данных. На некоторых сайтах стоит Wordfence и WP Cerber, если мне удастся восстановить работоспособность других сайтов, я смогу посмотреть логи, которые возможно мне подскажут как произошла вся эта ситуация и с каких ip были совершены атаки.
Ориентировочно это произошло с 00:00 до 04:00 по МСК 19.11.2020 г.
PS: Хотел отследить цыпочку редиректов, не удалось это сделать ни одним онлайн сервисом.
Вредоносный домен ( dock.lovegreenpencils.ga ) расположен на бесплатном доменном регистраторе freenom.com
Я замечаю каждый день на своих сайтах брутфорсинг…
Если у кого то была или случилась такая ситуация, пишите обсудим!