Куда идем?

XSS-атака сайт Joomla 1.5

Больше
10 года 7 мес. назад - 10 года 7 мес. назад #6474 от BlackCat
BlackCat создал тему: XSS-атака сайт Joomla 1.5
Получаю от Яндекс.Вебмастера относительно регулярные сообщения типа:
Сайт www.мойсайт.ru , права на который Вы подтвердили в сервисе Яндекс.Вебмастер, возможно, подвергся XSS-атаке и используется для создания мусорных страниц и ссылок на посторонние сайты.

Примеры страниц, обнаруженных нашими алгоритмами, приведены ниже.
www.мойсайт.ru/index.php?cmonth=6%2526cyear
Имя домена заменено мной на "мойсайт".
Поиск строки "cmonth=6%2526cyear" в файле index.php в корне сайта и в шаблоне ничего не дал.
Письмо пришло как раз в то время, когда вдруг резко подскочила нагрузка на БД - в три раза, даже пришлось переписываться с хостером, чтобы не отключили, потому как вышли за ежедневный лимит нагрузки.

При попытке пройти по указанной ссылке открывается главная страница, то есть www.мойсайт.ru/index.php , но при этом в адресной строке прописана вся указанная строчка. Повышенную нагрузку на БД дали поисковики, которые индексировали сайт как сумасшедшие несколько дней подряд, особенно отличался Яндекс... :angry:
Типичный запрос в логе выглядел так:
37.140.141.8 - - [16/Feb/2014:04:08:08 +0400] "GET /index.php?nday=15&nmonth=03&nyear=2006&cmonth=03&cyear=2006&option=com_content&view=frontpage&Itemid=1&layout=default&month=7&year=2014 HTTP/1.1" 200 15602 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
На главной странице был календарь (архив новостей). По логам похоже, будто яндекс шерстил все новости через этот компонент. Убрала с главной, нагрузка упала, но не сразу. Подозреваю, что поисковики индексировали сайт со страницы www.мойсайт.ru/index.php?cmonth=6%2526cyear , считая ее за главную, и соответственно все страницы переиндексировали как новые - отсюда и нагрузка. Но в логах такой строчки (искала по cmonth=6%2526cyear и по 2526cyear) нет.

Как найти, откуда берется эта ссылка?

Заранее спасибо,
Настя
Последнее редактирование: 10 года 7 мес. назад пользователем BlackCat.

Пожалуйста Войти или Зарегистрируйтесь, чтобы присоединиться к беседе.

Больше
10 года 7 мес. назад - 10 года 7 мес. назад #6475 от Wedal
Wedal ответил в теме XSS-атака сайт Joomla 1.5
Настя, эта строчка скорее всего связана с компонентом календаря, который вы используете. Вообще, как я сам узнал лишь недавно, даже в последних версиях Joomla можно ввести ссылку вроде:

site.ru/index.php?bla-bla-bla

и получить главную страницу сайта. Это просто дубли. Другой вопрос в том, как этот дубль нашел Яндекс. Видимо компонент создал где-то на сайте такую ссылку(возможно создал неправильно) и Яндекс ее проиндексировал. Подробнее сказать не могу. Нужно анализировать. А вообще, избавились бы от этого календаря. Зачем он нужен, если есть хорошие стандартные модули Joomla, позволяющие показывать архив.
Последнее редактирование: 10 года 7 мес. назад пользователем Wedal.
Спасибо сказали: BlackCat

Пожалуйста Войти или Зарегистрируйтесь, чтобы присоединиться к беседе.

Больше
10 года 7 мес. назад - 10 года 7 мес. назад #6476 от BlackCat
BlackCat ответил в теме XSS-атака сайт Joomla 1.5
Ну и таки где, а точнее как ее найти? С главной я этот компонент убрала. Joomla у меня 1.5, апгрейд сайта конечно будет, но это ж в два дня не сделается, а проблема возникает периодически - нагрузка зашкаливает, поисковики с ума сходят. Модуль с публикации сняла совсем - ссылка осталась ((((
И какой компонент для архива я щас для 1.5 найду? (((

p.s. продолжая отлавливать "левые ссылки", нашла еще одну: www.мойсайт.ru/0 - тоже главная страница.

вообще фантастика... И как с этим бороться?
Последнее редактирование: 10 года 7 мес. назад пользователем BlackCat.

Пожалуйста Войти или Зарегистрируйтесь, чтобы присоединиться к беседе.

Больше
10 года 7 мес. назад #6477 от Wedal
Wedal ответил в теме XSS-атака сайт Joomla 1.5
BlackCat, попробуйте проделать такой фокус на этому сайте. Получите такой же результат. Теоретически, можно найти бесконечное число дублей. Важно другое - чтобы к этим дублям не было доступа по ссылкам на вашем сайте. Поисковые системы не будут подставлять разные числа только чтобы найти у вас дубли. Они будут переходить по всем ссылкам сайта и индексировать найденные страницы. Модуль архива посмотрите в стандартных модулях Joomla.

Пожалуйста Войти или Зарегистрируйтесь, чтобы присоединиться к беседе.

Больше
10 года 7 мес. назад #6479 от BlackCat
BlackCat ответил в теме XSS-атака сайт Joomla 1.5
Насколько я понимаю, поисковики не перебирают вслепую случайные числа, чтобы найти дубли. Они есть в теле главной страницы. Выловлены через тулбар для веб-мастеров, там есть опция - посмотреть все ссылки на данной странице. То есть они где-то чем-то генерируются, и при этом компонет календаря я снесла совсем (на локальной копии сайта на компе). Ссылки остались.
Собственно, проблему я на данный момент с нагрузкой решила - просто тупо запретила в robots.txt индексацию страниц-дублей. Поэтому остался чисто теоретический интерес )))) потому как сайт переписывать конечно будем, joomla 1.5 это же ужос ))))

Пожалуйста Войти или Зарегистрируйтесь, чтобы присоединиться к беседе.