Мой личный веб-сайт был полностью клонирован, это проблема безопасности?
Вчера я гуглил свое (настоящее) имя (это название моего сайта) на жаворонке и обнаружил веб-сайт, который скопировал мой личный веб-сайт и его содержимое. Как копия под копирку, включая ссылки на изображения на веб-сервере, которые вообще не связаны нигде на сайте.
Меня не очень беспокоит утечка персональных данных или что-то еще, так как на сайте не так много ссылок на меня, кроме моего имени.
Мой вопрос заключается в том, является ли это представляет уязвимость системы безопасности на моем сервере, которую я не устранял, или если это обычное явление. Мой сервер Ubuntu 14.04.5 LTS, и я вижу многочисленные запросы сайта-клона на изображения в apache2/access.файл журнала.
Любая информация полезна.
3 answers
Обратите внимание, что если у вас есть выделенный сервер с собственным IP-адресом, то возможно, что другой домен просто указывает на ваш IP-адрес, и в этом случае см. Дополнительное примечание в конце этого ответа.
Я вижу многочисленные запросы сайта-клона на изображения в apache2/access.файл журнала.
Похоже, что этот другой сайт действует как обратный прокси-сервер и обслуживает ваш контент напрямую. Они не обязательно "копировали" что угодно, с точки зрения буквально поиска/сохранения ваших изображений/контента на другом сервере.
Включая ссылки на изображения на веб-сервере, на которые вообще нигде на сайте нет ссылок.
Это указывает на то, что сайт перенаправляет запрос. Вы делаете запрос на этот поддельный веб-сайт, и они буквально просто пересылают запрос на ваш сайт, получают ответ и отправляют его обратно клиенту/пользователю.
Он будет обновляться в реальном времени каждый раз, когда я обновляю свой сайт...
Да, снова указывает на прокси-сервер. (Как вы предлагаете в комментариях, "просто перенаправьте страницу через другой сервер").
Является ли это проблемой безопасности?
Ну, маловероятно, что ваш сайт был скомпрометирован. Основная цель такой "атаки", по-видимому, состоит в том, чтобы повредить вашему SEO/поисковому рейтингу. Или создать "доверие" к ответственному домену, чтобы в конечном итоге продать его.
Я думаю, что мне следует заблокировать IP-адрес клонов адрес?
Да. К сожалению, это, вероятно, единственное, что вы можете сделать. Довольно сложно защититься от таких "атак". Запрос, поступающий от прокси-сервера, может выглядеть как "обычный пользователь". Таким образом, большинство сайтов , вероятно, уязвимы для таких "атак".
К сожалению, в распоряжении хакера может быть несколько доступных IP-адресов, поэтому простой блокировки одного IP-адреса может оказаться недостаточно.
Вы также можете изучить HTTP заголовки запросов, поступающие от этих "проксированных" запросов. "Хороший" прокси-сервер установит заголовки запросов X-Forwarded-For и Proto- и т.д. Если это так, вы, возможно, можете заблокировать запрос на основе этих заголовков. Однако они вряд ли будут установлены, если хакер знает, что они делают, и делает это злонамеренно
Вы можете попробовать выполнить перенаправление на стороне сервера обратно в свой домен в надежде, что это перенаправит клиента . Однако прокси-сервер, вероятно, перехватит это, поэтому он может не делай что угодно. Вы также должны быть осторожны с циклами перенаправления, так как со своего сервера вы не можете видеть (поддельный) домен, через который осуществляется доступ к сайту на стороне клиента. Возможно, вы могли бы перенаправить на ?redirect=1 (или что-то в этом роде), чтобы убедиться, что вы не "зацикливаетесь".
Вы также можете попробовать перенаправление с клиентского JavaScript. JavaScript может очевидно видеть (поддельный) домен, через который осуществляется доступ к сайту, поэтому потенциально может "перенаправлять" обратно на ваш домен. Однако многие прокси серверы будут манипулировать HTML/JavaScript/CSS на стороне клиента, поэтому могут легко манипулировать доменом, на который вы перенаправляете, - если, возможно, вы каким-то образом не запутаете это в своем коде на стороне клиента? Или, возможно, перенаправление через промежуточный домен??
Просто чтобы добавить, блокировка горячей ссылки путем проверки заголовка HTTP-реферера вряд ли поможет здесь (кроме того, что в любом случае несет определенный риск). Прокси-сервер подделает HTTP-реферер, либо полностью удалит его (например, прямой запрос), либо сделайте так, чтобы это выглядело как внутренний запрос.
В стороне: Выделенный сервер с собственным IP-адресом
Просто добавлю, что если у вас есть выделенный сервер/VPS с собственным IP-адресом, то вполне возможно, что этот другой домен просто указывает на ваш IP-адрес, тем самым эффективно создавая "клонированный" сайт.
Это легко "заблокировать" в конфигурации сервера, создав виртуальный хост для этого домена и просто отклонив запрос. Или убедитесь, что у вас есть значение по умолчанию виртуальный хост (обычно первый определенный), который перехватывает все неканонические запросы хоста и запрещает доступ (предпочтительно).
Смотрите этот вопрос о стековом потоке для получения дополнительной информации:
Это также может быть заблокировано/перенаправлено с помощью mod_rewrite (в конфигурации сервера или .htaccess), фактически, в зависимости от того, как вы реализовали свой каноническое перенаправление www возможно, вы уже перенаправляете такие запросы. Однако, поскольку это ваш собственный сервер (с собственным IP-адресом), то предпочтительнее решение виртуального хоста. Например, каноническое перенаправление, такое как следующее, перенаправит все запросы, которые не для канонического домена, в канонический домен (т. Е. http://example.com):
RewriteCond %{HTTP_HOST} !=example.com
RewriteRule (.*) http://example.com/$1 [R=301,L]
Есть несколько способов, которыми они могли получить эти изображения, и наиболее распространенным является то, что Apache обслуживал индекс подкаталога. Если это не так, это может быть утечка информации о безопасности, но предоставленной вами информации недостаточно, чтобы подтвердить/исключить ее.
Я предполагаю, что вы всегда обновляли операционную систему, и даже несмотря на то, что вы используете 14.4.x, все исправления известных уязвимостей установлены.
не отвечаю, но хочу сохранить форматирование
Вы также можете прекратить горячие ссылки на изображения, добавив их в свой файл .htaccess
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?example.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]
Если вы хотите еще больше обескуражить их, замените последнюю строку на RewriteRule \.(jpg|jpeg|png|gif)$ http://hotlink.example.com/donotstealimages.png [NC,R,L] это также загрузит изображение из поддомена вместо того, которое они захватывают.
Вам нужен поддомен или изображение с другого сайта, или изображение, которое вы пытаетесь заменить, также будет заблокировано. В зависимости от вашего имиджа, это может быстро завершить горячую ссылку на изображение: o)