Как найти дырку после взлома?

На одном старом сайте на обычном хостинге с панелью ISPManager взломали через старый WYSIWYG-редактор.
Хакер сделал хитрый вызов своего кода - при загрузке файла
/FCKeditor/js/fck_config.js
вызывается /FCKeditor/js/fck_config.js? которое редиректит и грузит с другого сайта обфусцированный js и выводит рекламу на сайте.

Полностью удалил папку с редактором.

Но при подстановке и вызове my-domen.ru/FCKeditor/js/fck_config.js - снова грузится обфусцированный js с другого сайта. Причем, адрес может быть и не только по тому пути, где лежал скрипт, главное, чтобы в url было
"/FCKeditor/js/fck_config.js"
Т.е. проблема не в зараженных каких либо файлах сайта, а системная.

В инструментах разработчика в браузере я вижу редирект
Метод запроса: GET
Код статуса: 307 Temporary Redirect
Правило для URL перехода: strict-origin-when-cross-origin


В логах 404 при вызове этого скрипта.

Переименовывал .htaccess

При отключении apache или nginx, понятно, ничего не работает.
Кажется, в ихних конфигах ничего подозрительного.

Проблема во всех браузерах, даже с которых на сайт до этого не заходил, кроме Tor.
Та же, при включении VPN во всех браузерах файл не грузится.
  • Вопрос задан
  • 906 просмотров
Пригласить эксперта
Ответы на вопрос 1
@minalexpro Автор вопроса
Открываются новые обстоятельства.

Перестали открываться панели управления хостинга на разных портах у провайдера Рег.ру через провайдера Ростелеком.

Три разные панели (ISPManager, Fastpanel, Plesk) на 4 доступных мне серверах.
Панель IHC.ru открывается.

Под интернетом от Мегафона и от Билайна всё вышеперечисленное работает, а зловред не загружается.

Появилось подозрение, что взломан один из роутеров провайдера, который вмешивается в трафик по незащищенному протоколу по http. Но чтобы это доказать - нужно найти сайт, который работает без SSL и попробовать вызвать скрипт, но пока я нашел пару сайтов, к которому я не имею отношение, по одному зловред грузится, по другому нет. Причем, грузится зловред не всегда, частенько переадресации не происходит, просто выдается 404, что сильно осложняет...

Написал в Ростелеком - пусть разбираются. Отправил информацию о traceroute - вдруг поможет.
Единственное, что помог пока провайдер - предложил проверить недоступные ресурсы в списке блокировок.
https://eais.rkn.gov.ru/
https://www.ruzapret.com/
Там ничего не нашлось.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы