Galiba hacklendim. Sitem klonlanmış

Düşündüğüm gibi method uygulamışlar hocam. Sunucunuza vs. herhangi bir erişim hack vs. yok, clone için bir method var onu yapmışlar.

Bunu cloudflare ile mi yapıyorlar

Farklı yolları da mevcut fakat evet cf ile de yapılıyor.

Mecbur cf iptal edeceğim. Sunucuya ns ve DNS kurup kendi nslerimi yaratabilirmişim.

Çözüm yolu o değil hocam, cf sunucularının ip adresini engellerseniz ya da daha iyisi cf ip adresinden gelen requestlerde 301 verip sizi klonlayan siteden 301 çıkışı alırsınız ve klonlayan kişi farkeden kadar sitesi size yönlenir.


Seçim size kalmış. Geçmiş olsun tekrardan, iyi forumlar.

yansıtma yapmışlar sadece, sitenize kurdukları bağlantıyı engellediğinizde karşı site tamamen boşa düşer.

nasıl bulacağınızı bilmiyorsanız telegramdan yazın yardımcı olalım

Bence nasıl çözüleceğini özel olarak iletmek yerine konu başlığı altına paylaşılması, ileride benzer durumları yaşayan kişilere de yardımı olacaktır.

Evet arkadaşlar uzun sürdü ama yapay zeka ile sorunu çözdüm. Klon siteyi şutladım. Yaptığım şeyler bunlar. Başınıza gelirse uygulayın. Ubuntu sunucu bu arada. site.com ve www.site com kısımlarını kendinize göre değiştirin

Cloudflare + Sunucu Üzerinden Klon / Hijack Engelleme Rehberi

Bir forum sitesi olan site.com, farklı bir domain (klonsite.com) tarafından anlık olarak birebir klonlanıyor ve tüm içerik hareketleri canlı şekilde çekiliyordu. Bu durum site hijacking (live mirror hijack) olarak tanımlanır.
Bu ihlali kalıcı olarak engellemek için hem Cloudflare hem de sunucu (NGINX) seviyesinde aşağıdaki işlemler uygulandı.

1️⃣ Cloudflare Alan Adı Kilidi (Firewall)

Cloudflare panelinde Firewall → Rules → Create Rule bölümünde şu kural oluşturuldu:

(http.host ne "site.com") and (http.host ne "www.site.com")

Action: Block

Etkisi:

Cloudflare artık sadece site.com ve www.site.com host header’larını kabul eder.
Klon domainler, IP üzerinden erişimler, subdomain kopyaları daha sunucuya ulaşamadan Cloudflare tarafından düşürülür.

2️⃣ Cloudflare SSL Zorlaması

Cloudflare → SSL/TLS ayarları:

• SSL Mode: Full (Strict)
• Always Use HTTPS: On
• Automatic HTTPS Rewrites: On

Etkisi:

Sadece geçerli sertifikaya sahip HTTPS bağlantıları kabul edilir.
Klon domainler SSL hatasına düşer, tarayıcı güvenli erişim sağlamaz.

3️⃣ Sunucu Tarafı Alan Adı Doğrulama (NGINX Host Lock)

Sunucuda NGINX yapılandırmasına alan adı doğrulama kilidi eklendi.

/etc/nginx/nginx.conf → http {} bloğunun en altına:

map $host $allowed_host { default 0; site.com 1; [URL="https://www.site.com"]www.site.com[/URL] 1; }

4️⃣ Tüm Server Bloklarına Host Filtre Eklendi

Forumun çalıştığı tüm server {} bloklarının ilk satırına eklendi:

if ($allowed_host = 0) { return 444; }

Etkisi:

Cloudflare’ı aşmaya çalışan, IP üzerinden veya farklı domainle gelen her istek sunucu seviyesinde anında öldürülür.
NGINX hiçbir içerik döndürmez.

5️⃣ HTTP → HTTPS Zorlaması

Port 80 server bloğu sadece yönlendirme yapacak şekilde kilitlendi:

server { listen 80; server_name site.com [URL="https://www.site.com;"]www.site.com;[/URL] return 301 https://site.com$request_uri; }

Etkisi:

HTTP erişim tamamen kapatıldı, sadece HTTPS açık bırakıldı.

6️⃣ Sonuç (Fiziksel Etki)

DurumSonuçKlon domain erişimiCloudflare’da blokIP ile erişimSunucuda 444SSL’siz erişimTarayıcıda güvenlik hatasıİçerik çekmeFiziksel olarak imkânsızGoogle indexBildirim sonrası silinir

7️⃣ Google Hijack Bildirimi (Son Darbe)

Google’a şu resmî formdan hijack bildirimi yapıldı:
https://search.google.com/search-console/report-spam
Raporlanan site:
https://klonsite.com
Açıklama metni:

This website is hijacking and scraping all content from my original forum site.com in real-time.
All content, topics, deletions and updates are mirrored instantly without permission. This is an automated live mirroring hijack.
The original website is: https://site.com The hijacked copy is: https://klonsite.com
This violates Google Search Spam Policies (Scraped Content & Site Hijacking). Please remove klonsite.com from the index.
Bu yapıdan sonra klon domain artık:
• Siteye bağlanamaz
• İçerik çekemez
• Google’da yaşayamaz
• Tekrar index alamaz
• Kalıcı olarak kapanmış sayılır

1) sitenizde index.php dosyasına en üste aşağıdaki kodu ekleyin

<?php
file_put_contents('logs.txt', print_r($_SERVER, true) . "\n\n", FILE_APPEND);
?>

2) klon site'de

klon.com/?test=1

şeklinde adrese girin,

daha sonrasında logs.txt sitenizde dizinde oluşmuş olacak.
not: eğer logs.txt oluşmuyor ise izinler sebebi ile oluşturulamıyordur. index.php nin bulunduğu dizinde manuel olarak logs.txt oluşturup chmod 777 vermeyi deneyin, daha sonrasında 2. işlemi tekrarlayın.

3) logs.txt içerisini açın, test=1 aratın.

array(
..BURADA..
)...

şeklinde bir bölümde görünecek. eğer sitenizde cloudflare kullanıyorsanız klonlayıcı sitenin sunucu adresi HTTP_CF_CONNECTING_IP içerisinde görünür.
eğer sitenizde cloudflare yoksa REMOTE_ADDR içerisinde görünecektir.

not: eğer sitenizde cloudflare aktif ise kesinlikle ip adresini HTTP_CF_CONNECTING_IP tanımlamasından almalısınız. aksi halde REMOTE_ADDR den almış olduğunuz ip adresi cloudflare sunucularına ait olur.

4) aldığınız ip adresini engelleyin

kullandığınız panel, sunucu ya göre değişkenlik gösterir. sitenizde cloudflare var ise cloudflare waf ayarları üzerinden kolayca engelleyebilirsiniz.