Как найти дырку после взлома?

Question

[Александр]

На одном старом сайте на обычном хостинге с панелью ISPManager взломали через старый WYSIWYG-редактор.
Хакер сделал хитрый вызов своего кода - при загрузке файла
/FCKeditor/js/fck_config.js
вызывается /FCKeditor/js/fck_config.js? которое редиректит и грузит с другого сайта обфусцированный js и выводит рекламу на сайте.

Полностью удалил папку с редактором.

Но при подстановке и вызове my-domen.ru/FCKeditor/js/fck_config.js - снова грузится обфусцированный js с другого сайта. Причем, адрес может быть и не только по тому пути, где лежал скрипт, главное, чтобы в url было
"/FCKeditor/js/fck_config.js"
Т.е. проблема не в зараженных каких либо файлах сайта, а системная.

В инструментах разработчика в браузере я вижу редирект

Метод запроса: GET
Код статуса: 307 Temporary Redirect
Правило для URL перехода: strict-origin-when-cross-origin

В логах 404 при вызове этого скрипта.

Переименовывал .htaccess

При отключении apache или nginx, понятно, ничего не работает.
Кажется, в ихних конфигах ничего подозрительного.

Проблема во всех браузерах, даже с которых на сайт до этого не заходил, кроме Tor.
Та же, при включении VPN во всех браузерах файл не грузится.

Comments

[Дмитрий]

ну а что у вас за обработчик на 404 навешан?

[Александр]

Дмитрий, в принципе есть обработчик для CMS, всё прописывается в .htaccess, но он переименован и не обрабатывается (судя по другим файлам) а как только вызываешь /FCKeditor/js/fck_config.js - подгружается с другого места(сайта, домена на чужом сервере) обфусцированный js

[Дмитрий]

Александр, как мне показалось что когда вы обращаетесь к вашему серверу за /FCKeditor/js/fck_config.js которого нет - у вас происходит редирект - а в логах 404. Логично предположить что это обработчик так делает. не?

[Модератор]

Не надо лепить как можно больше тэгов.
См.п.3.1 Регламента.

Answer 1

[Александр]

Открываются новые обстоятельства.

Перестали открываться панели управления хостинга на разных портах у провайдера Рег.ру через провайдера Ростелеком.

Три разные панели (ISPManager, Fastpanel, Plesk) на 4 доступных мне серверах.
Панель IHC.ru открывается.

Под интернетом от Мегафона и от Билайна всё вышеперечисленное работает, а зловред не загружается.

Появилось подозрение, что взломан один из роутеров провайдера, который вмешивается в трафик по незащищенному протоколу по http. Но чтобы это доказать - нужно найти сайт, который работает без SSL и попробовать вызвать скрипт, но пока я нашел пару сайтов, к которому я не имею отношение, по одному зловред грузится, по другому нет. Причем, грузится зловред не всегда, частенько переадресации не происходит, просто выдается 404, что сильно осложняет...

Написал в Ростелеком - пусть разбираются. Отправил информацию о traceroute - вдруг поможет.
Единственное, что помог пока провайдер - предложил проверить недоступные ресурсы в списке блокировок.
https://eais.rkn.gov.ru/
https://www.ruzapret.com/
Там ничего не нашлось.

Comments

[Александр]

В общем, есть сайт без SSL, к которому я не имею отношения, на нем даже при вызове главной - грузится зловред через редирект и даже под футером крутит рекламу. При перелючении провайдера никаких зловредов нет.

[Олег]

Александр,
Не рассматривали вариант, что это сам провайдер подставляет рекламу. Они вообще-то давно таким грешат на сайтах без SSL.

[Александр]

Олег, У Ростелекома взламывают роутеры и посещать сайты по http небезопасно, с сайтами на https всё нормально. Вызывал, они меняли свой роутер - всё повторилось. Поменял провайдера и роутер - полет нормальный.