XF 1.5 Кто то сделал клон форума. Помогите заблокировать

[hasvanbinsun]

Прислали мне ссылку очень подозрительную. Домен очень похож, зашел , сначала думал тупой фейк главной страницы. Потом попробовал зарегистрироваться, регистрация прошла, все данные скачиваются с моего сайта и туда же передаются.

Первая мысль, взломали!? Логи чистые. Порылся по гуглу, оказалось, что кто то сделал скрипт и он транслирует мой сайт на другой домен. Для перехвата паролей, ещё для каких-то целей не важно. Как можно от этого защитится?

По IP не вариант, запросы все время с разных адресов приходят. User-agent стандартный. Помогите. SOS!

 

[Валера19]

Примерно так... данный код вставляем в индекс пхп, сразу после <?php

if(stristr($_SERVER['HTTP_REFERER'],'домен_подделка')){//пишем домены без http:// и без www
header('HTTP/1.1 301 Moved Permanently');
header('Location:

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

exit;
}

 

[Len]

Создайте файл в .htaccess в корне сайта или если он есть просто добавьте туда данный код:

RewriteEngine on 
RewriteCond %{HTTP_HOST} your-domain.tld 
RewriteRule (.*) - [F,L]

Где your-domain.tld введите любой другой домен

 

[hasvanbinsun]

Создайте файл в .htaccess в корне сайта или если он есть просто добавьте туда данный код:

RewriteEngine on
RewriteCond %{HTTP_HOST} your-domain.tld
RewriteRule (.*) - [F,L]

Где your-domain.tld введите любой другой домен

У меня нет апача.

Примерно так... данный код вставляем в индекс пхп, сразу после <?php

if(stristr($_SERVER['HTTP_REFERER'],'домен_подделка')){//пишем домены без http:// и без www
header('HTTP/1.1 301 Moved Permanently');
header('Location:

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

exit;
}

Белая страница везде. Не помогло.

 

[Reborns]

У меня нет апача.

А что есть ??? Nginx ?

КОД

if ($host !~ ^(site.ru|

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

) {
return 444;
}

 

[hasvanbinsun]

А что есть ??? Nginx ?

КОД

if ($host !~ ^(site.ru|

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

) {
return 444;
}

Да, nginx. Вместо site.ru и

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

что указывать?

 

[Reborns]

Да, nginx. Вместо site.ru и

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

что указывать?

Ну так ваш домен с www и без ...

 

[hasvanbinsun]

Ну так ваш домен с www и без ...

Спасибо, сейчас попробую.

Ну так ваш домен с www и без ...

Не помогло. Всё так же грузится. И мой сайт и клон.

 

[Reborns]

Не помогло. Всё так же грузится. И мой сайт и клон.

Ну это больше похоже на взлом и если сами не разбираетесь то обратитесь к специалисту ... поскольку если это взлом то никакие консультации вам не помогут .

 

[кот]

1. Создай пару тем и в разных темах сообщения с фото +18, как на клоне появятся эти фото у себя удали(каждые сутки по 5-10 раз).
2.Блокируй ip, сколько их там будет 5-10
3.Напиши жалобу хостеру того сайта
4. Пиши в техподдержку яндексу что есть сайт клон.

 

[hasvanbinsun]

Ну это больше похоже на взлом и если сами не разбираетесь то обратитесь к специалисту ... поскольку если это взлом то никакие консультации вам не помогут .

Взлом исключен с вероятностью в 100%. Все проверено. У меня NGINX сервер, на стороне клона стоит nginx+apache. Сервер был прикрыт со всех сторон. И далее проанализорован. К каким специалистам вы посоветуете обратиться?

1. Создай пару тем и в разных темах сообщения с фото +18, как на клоне появятся эти фото у себя удали(каждые сутки по 5-10 раз).
2.Блокируй ip, сколько их там будет 5-10
3.Напиши жалобу хостеру того сайта
4. Пиши в техподдержку яндексу что есть сайт клон.

Клон загружает всё с моего сайта. Если я удалю у себя, фото моментально пропадут с второго сайта. IP далеко больше 5-10, абузы не прокатят.

 

[Reborns]

Взлом исключен с вероятностью в 100%.

очень неправильное утверждение .... исключить взлом с таким процентом не по силам никому в мире !!!

К каким специалистам вы посоветуете обратиться?

Exile

Клон загружает всё с моего сайта.

т.е. если обратиться например к picture.jpg na на сайте клоне , то запрос идет к вам и с вашего сервера погружаеться картинка ?

 

[hasvanbinsun]

очень неправильное утверждение .... исключить взлом с таким процентом не по силам никому в мире !!!

Именно в этой ситуации, я уверен, что это не взлом.

т.е. если обратиться например к picture.jpg na на сайте клоне , то запрос идет к вам и с вашего сервера погружаеться картинка ?

Именно так, но в пути до файла klon.com/picture.jpg он как бы проксирует весь контент.

 

[Reborns]

Именно в этой ситуации, я уверен, что это не взлом.

При такой уверенности вы долны быть в состоянии самим решить вашу проблеммы ...

Именно так, но в пути до файла klon.com/picture.jpg он как бы проксирует весь контент.

Пример для защиты...

# Static content
location ~* \.(?:jpg|jpeg|gif|png|bmp|ico|css|gz|tgz|rar|zip|svg|svgz|mp3|mp4|ogg|ogv|webm|htc|ttf|ttc|otf|eot|woff|doc|docx|pdf|txt|rtf|js)$ {
expires 30d;
access_log off;
add_header Cache-Control "public";
valid_referers none blocked location ~(ВАШ.ДОМЕН.РУ|google.|yahoo.|bing.|yandex.|mediapartner.|feedburner.);
if ($invalid_referer) {
rewrite ^(.*)$

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

к какой то картинке.png last;
}
}

 

[Валера19]

У меня нет апача.
Белая страница везде. Не помогло.

Белая страница была потому что кавычка съелась....
Сделай у себя на сайте временный файл (допустим 3.php) с таким содержимым -
далее зайти через сайт подделку на свой файл, посмотри, какая из переменных выдает другой сайт...
(после того как нужная переменная будет найдена, будет совет дальше)

<?php
echo '<PRE>';
print_r($_SERVER);
?>

 

[hasvanbinsun]

При такой уверенности вы долны быть в состоянии самим решить вашу проблеммы ...

Не могу сам решить, поэтому к вам обратился, может кто то сталкивался и посоветует что нибудь.

Белая страница была потому что кавычка съелась....
Сделай у себя на сайте временный файл (допустим 3.php) с таким содержимым -
далее зайти через сайт подделку на свой файл, посмотри, какая из переменных выдает другой сайт...
(после того как нужная переменная будет найдена, будет совет дальше)

Сейчас попробую.

Белая страница была потому что кавычка съелась....
Сделай у себя на сайте временный файл (допустим 3.php) с таким содержимым -
далее зайти через сайт подделку на свой файл, посмотри, какая из переменных выдает другой сайт...
(после того как нужная переменная будет найдена, будет совет дальше)

<?php
echo '<PRE>';
print_r($_SERVER);
?>

Array
(
    [USER] => www-data
    [HOME] => /var/www
    [FCGI_ROLE] => RESPONDER
    [SCRIPT_FILENAME] => /var/www/html/333.php
    [QUERY_STRING] =>
    [REQUEST_METHOD] => GET
    [CONTENT_TYPE] =>
    [CONTENT_LENGTH] =>
    [SCRIPT_NAME] => /333.php
    [REQUEST_URI] => /333.php
    [DOCUMENT_URI] => /333.php
    [DOCUMENT_ROOT] => /var/www/html
    [SERVER_PROTOCOL] => HTTP/1.1
    [REQUEST_SCHEME] => http
    [GATEWAY_INTERFACE] => CGI/1.1
    [SERVER_SOFTWARE] => nginx/1.9.3
    [REMOTE_ADDR] => Одинаковый
    [REMOTE_PORT] => Одинаковый
    [SERVER_ADDR] => Одинаковый
    [SERVER_PORT] => Одинаковый
    [SERVER_NAME] => Одинково
    [REDIRECT_STATUS] => 200
    [HTTP_HOST] => У меня мой домен, у клона свой.
    [HTTP_USER_AGENT] => Mozilla/5.0 (Windows NT 6.1; rv:31.0) Gecko/20100101 Firefox/31.0
    [HTTP_ACCEPT] => text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    [HTTP_ACCEPT_LANGUAGE] => en-us,en;q=0.5
    [HTTP_ACCEPT_ENCODING] => gzip, deflate
    [HTTP_COOKIE] => xf_session=e39208ccc9cc7857413c62271014f251; xf_notice_dismiss=19
    [HTTP_CONNECTION] => keep-alive
    [PHP_SELF] => /333.php
    [REQUEST_TIME_FLOAT] => 1437377756.1713
    [REQUEST_TIME] => 1437377756

Всё один в один, за исключением домена.

 

[Mirovinger]

Более чем странно, что бы копировать полностью и синхронно контент, явно нужен прямой доступ и речь о каком-то скрипте, который копирует все и вся в режиме реального времени, без Вашего ведома, как-то не уместна.
Тогда бы каждый второй форум, был клоном.

Вы хоть линк на Ваш и клон дали бы, интересно на это посмотреть, да и вопрос решился быстрее.

 

[Smalesh]

Стоп. hasvanbinsun,

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

что покажет?

Часто забывают закрыть default_host и сайт/форум начинает обрабатывать все запросы. Тогда нехороший человек просто указывает a-запись домена на ip такого сервера и дело в шляпе.

 

[Валера19]

Не могу сам решить, поэтому к вам обратился, может кто то сталкивался и посоветует что нибудь.



Сейчас попробую.

Array
(
    [USER] => www-data
    [HOME] => /var/www
    [FCGI_ROLE] => RESPONDER
    [SCRIPT_FILENAME] => /var/www/html/333.php
    [QUERY_STRING] =>
    [REQUEST_METHOD] => GET
    [CONTENT_TYPE] =>
    [CONTENT_LENGTH] =>
    [SCRIPT_NAME] => /333.php
    [REQUEST_URI] => /333.php
    [DOCUMENT_URI] => /333.php
    [DOCUMENT_ROOT] => /var/www/html
    [SERVER_PROTOCOL] => HTTP/1.1
    [REQUEST_SCHEME] => http
    [GATEWAY_INTERFACE] => CGI/1.1
    [SERVER_SOFTWARE] => nginx/1.9.3
    [REMOTE_ADDR] => Одинаковый
    [REMOTE_PORT] => Одинаковый
    [SERVER_ADDR] => Одинаковый
    [SERVER_PORT] => Одинаковый
    [SERVER_NAME] => Одинково
    [REDIRECT_STATUS] => 200
    [HTTP_HOST] => У меня мой домен, у клона свой.
    [HTTP_USER_AGENT] => Mozilla/5.0 (Windows NT 6.1; rv:31.0) Gecko/20100101 Firefox/31.0
    [HTTP_ACCEPT] => text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    [HTTP_ACCEPT_LANGUAGE] => en-us,en;q=0.5
    [HTTP_ACCEPT_ENCODING] => gzip, deflate
    [HTTP_COOKIE] => xf_session=e39208ccc9cc7857413c62271014f251; xf_notice_dismiss=19
    [HTTP_CONNECTION] => keep-alive
    [PHP_SELF] => /333.php
    [REQUEST_TIME_FLOAT] => 1437377756.1713
    [REQUEST_TIME] => 1437377756

Всё один в один, за исключением домена.

 

[hasvanbinsun]

Стоп. hasvanbinsun,

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

что покажет?

У нас один IP.