Expression Engine サイトがハッキングされました - リダイレクトを見つける

Google (他の検索エンジンの場合もあります) からのリファラーを持つユーザーのみをリダイレクトします。curl のリファラー部分を削除すると、通常のページが返されます。

curl -e "http://www.google.co.uk/search?q=new+wine+ireland" --include http://www.newwineireland.org/
HTTP/1.1 302 Found
Date: Sun, 20 Nov 2011 11:44:17 GMT
Server: Apache
Location: http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555
Vary: Accept-Encoding
Content-Length: 239
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555">here</a>.</p>
</body></html>

応答の内容 (ヘッダーの後) から、これは PHP で生成されたリダイレクトではなく、Apache で生成されたリダイレクトであることがわかります。ほとんどの人は、リダイレクトに PHP header() 関数を使用するときに本文を送信することを考えませんが、そのテキストは Apache で生成された本文とまったく同じです。

私にとって、これは PHP ファイルではなく、データベースに保存されている JavaScript やメタ リダイレクトでもないことを意味します。

これに基づいて、Apache 構成ファイルを確認することをお勧めします。/etc/apache (またはディストリビューションによっては /etc/httpd の下位) にあるすべての内容を確認する必要があります。RewriteRule や Redirect である必要はありません。別の場所にある別のファイルからリダイレクトをロードする追加の Include ディレクティブである可能性があります。.htaccess ファイルの呼び出しを変更するディレクティブである可能性もあります。

それを探すのに役立つコマンドは ですgrep -r "sweepstakesandcontestsinfo" /etc/apache。

言及しなかったどうやって.htaccess リダイレクトではないことを確認しました。 .htaccess は、ドキュメント ルート内にそれらのいずれかを書き込むために通常特別な権限を必要としないため、最も可能性の高いオプションです。

まだ実行していない場合は、これを実行します。 find /var/www -name .htaccessただし、「/var/www」をドキュメント ルートに変更します。

それでも何も見つからない場合は、最初の引数に / を指定して同じコマンドを試してください。当然、見つかったすべての .htaccess ファイルのすべての行をチェックする必要があります。

Apacheの設定ファイルの一部がは変更された場合、この攻撃者はあなたのマシンのルートアクセス権を持っています。その時の最善の対応は、オフラインにして適切なクリーンアップを開始することです。ここでもセキュリティ.SE差し迫った問題 (リダイレクト) を解決した後、妥協から回復する方法について説明します。

リンクを数回試してみると、Google の結果が「間違った」サイトに移動することが示されますが、URL (www.newwineireland.org) に直接アクセスしてもリダイレクトは行われません。

サイトの問題ではなく、Google 検索のポイズニングが発生している可能性があります。