Mögliches Duplikat:
Mein Server wurde NOTFALL gehackt
Ich habe eine Expression Engine-Website, die ich zu bereinigen versuche. Die Datenbank hat viele neue Benutzer erhalten, daher scheint es, als sei die Datenbank gehackt/Links hinzugefügt worden. Ein großes Problem ist, dass die Website umgangen wird, wenn man in Google darauf klickt. Alle Besucher werden auf eine andere Website umgeleitet. Hier ist die Suche:http://tinyurl.com/72nzutj. Die erste Seite ist die, um die es geht. Die Seite, auf die sie weitergeleitet werden, isthttp://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555Ich habe versucht, diese Weiterleitung in allen Dateien und der Datenbank zu finden, aber ich hatte kein Glück. Es ist keine .htaccess-Weiterleitung, das habe ich überprüft und bestätigt. Aber ich konnte bisher weder in den Dateien noch in der Datenbank eine JScript- oder PHP-Weiterleitung finden. Wahrscheinlich gut versteckt aufgrund einer Base64- oder gepackten Verschlüsselung. Ideen?
NB: Keine saubere Datenbankversion verfügbar
Antwort1
Es werden nur Personen mit einem Referrer von Google (möglicherweise auch von anderen Suchmaschinen) weitergeleitet. Wenn ich den Referrer-Teil von curl entferne, bekomme ich einfach eine normale Seite zurück.
curl -e "http://www.google.co.uk/search?q=new+wine+ireland" --include http://www.newwineireland.org/
HTTP/1.1 302 Found
Date: Sun, 20 Nov 2011 11:44:17 GMT
Server: Apache
Location: http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555
Vary: Accept-Encoding
Content-Length: 239
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555">here</a>.</p>
</body></html>
Der Inhalt der Antwort (nach den Headern) lässt darauf schließen, dass es sich um eine von Apache generierte Weiterleitung handelt und nicht um eine von PHP. Die meisten Leute denken nicht daran, einen Text zu senden, wenn sie die PHP-Funktion header() für Weiterleitungen verwenden, und dieser Text entspricht genau dem, wie ein von Apache generierter Text aussehen würde.
Für mich bedeutet dies, dass es sich nicht um eine PHP-Datei handelt und dass weder JavaScript noch eine Meta-Weiterleitung in Ihrer Datenbank gespeichert ist.
Auf dieser Grundlage würde ich vorschlagen, in den Apache-Konfigurationsdateien nachzuschauen. Alles in /etc/apache (oder /etc/httpd deoending auf Ihrer Distribution) muss überprüft werden. Es muss keine RewriteRule oder gar eine Umleitung sein. Es könnte eine zusätzliche Include-Direktive sein, die die Umleitung von einer anderen Datei an einem anderen Ort lädt. Es könnte sogar eine Direktive sein, die ändert, wie .htaccess-Dateien heißen.
Ein Befehl, der Ihnen bei der Suche helfen könnte, ist grep -r "sweepstakesandcontestsinfo" /etc/apache.
Du hast nicht erwähntWieSie haben überprüft, dass es sich nicht um eine .htaccess-Weiterleitung handelt. .htaccess ist die wahrscheinlichste Option, da normalerweise keine besonderen Berechtigungen erforderlich sind, um eine solche Weiterleitung in das Dokumentstammverzeichnis zu schreiben.
Wenn Sie dies noch nicht getan haben, führen Sie Folgendes aus: find /var/www -name .htaccessÄndern Sie jedoch „/var/www“ in Ihr Dokumentstammverzeichnis.
Wenn das nichts ergibt, versuchen Sie es mit demselben Befehl, aber mit / als erstem Argument. Natürlich müssen Sie jede einzelne Zeile in jeder gefundenen .htaccess-Datei überprüfen.
Wenn Sie feststellen, dass einige Ihrer Apache-KonfigurationsdateienSindgeändert wurde, dann hat dieser Angreifer Root-Zugriff auf Ihre Box. Die beste Reaktion zu diesem Zeitpunkt ist, sie offline zu nehmen und eine ordnungsgemäße Bereinigung zu beginnen. Es gibt viele Fragen sowohl hier als auchSicherheit.SEInformationen dazu, wie Sie sich von einem Kompromiss erholen, nachdem Sie das unmittelbare Problem (nämlich die Umleitung) behoben haben.
Antwort2
Wenn Sie den Link ein paar Mal ausprobieren, zeigt sich, dass die Google-Ergebnisse zur „falschen“ Site führen. Wenn Sie jedoch direkt zur URL (www.newwineireland.org) gehen, erfolgt keine Weiterleitung.
Vielleicht liegt bei Ihnen eher eine Google-Suchvergiftung als ein Website-Problem vor?