Posible duplicado:
Mi servidor ha sido hackeado EMERGENCIA
Tengo un sitio web de Expression Engine que intento limpiar. A la base de datos se le han asignado muchos usuarios nuevos, por lo que parece que la base de datos ha sido pirateada/se agregaron enlaces. Un problema importante es que cuando se hace clic en Google, se omite el sitio. Todos los visitantes son redirigidos a otro sitio web. Aquí está la búsqueda:http://tinyurl.com/72nzutj. El primer sitio es el que está en cuestión. El sitio al que son redirigidos eshttp://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555He intentado encontrar esta redirección en todos los archivos y en la base de datos, pero no he tenido suerte. No es una redirección .htaccess, eso lo he comprobado y confirmado. Pero todavía no he podido localizar una redirección de JScript o PHP en los archivos ni en la base de datos. Probablemente esté bien oculto debido a un cifrado base64 o empaquetado. ¿Ideas?
NB: no hay una versión limpia de la base de datos disponible
Respuesta1
Solo redirige a las personas con una referencia de Google (posiblemente también de otros motores de búsqueda). Si elimino la parte de referencia de curl, obtengo una página normal.
curl -e "http://www.google.co.uk/search?q=new+wine+ireland" --include http://www.newwineireland.org/
HTTP/1.1 302 Found
Date: Sun, 20 Nov 2011 11:44:17 GMT
Server: Apache
Location: http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555
Vary: Accept-Encoding
Content-Length: 239
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555">here</a>.</p>
</body></html>
El contenido de la respuesta (después de los encabezados) sugiere que se trata de una redirección generada por Apache y no generada por PHP. La mayoría de las personas no piensan en enviar un cuerpo cuando usan la función PHP header() para redireccionamientos y ese texto coincide exactamente con el aspecto que tendría un cuerpo generado por Apache.
Para mí, esto significa que no es un archivo PHP y no es un javascript o metaredireccionamiento almacenado en su base de datos.
En base a esto, sugeriría buscar en los archivos de configuración de Apache. Todo lo que hay en /etc/apache (o /etc/httpd dependiendo de su distribución) debe verificarse. No tiene que ser una RewriteRule o incluso una Redirect. Podría ser una directiva de inclusión adicional que carga la redirección desde otro archivo en otro lugar. Incluso podría ser una directiva que cambie el nombre de los archivos .htaccess.
Un comando que podría ayudarte a encontrarlo es grep -r "sweepstakesandcontestsinfo" /etc/apache.
No mencionastecómoVerificaste que no es una redirección .htaccess. .htaccess es la opción más probable porque normalmente no requiere ningún privilegio especial para escribir uno de los que se encuentran dentro de la raíz del documento.
Si aún no lo ha hecho, ejecute esto: find /var/www -name .htaccesspero cambie "/var/www" a la raíz de su documento.
Si no encuentra nada, intente con el mismo comando pero con / como primer argumento. Obviamente, tendrás que revisar todas y cada una de las líneas de cada archivo .htaccess que encuentres.
Si encuentra que algunos de sus archivos de configuración de Apachesoncambiado, entonces este atacante tiene acceso de root en su caja. La mejor respuesta en ese momento es desconectarlo y comenzar una limpieza adecuada. Hay muchas preguntas tanto aquí comoseguridad.SEsobre cómo recuperarse de un compromiso una vez que haya solucionado el problema inmediato (que es la redirección).
Respuesta2
Al probar el enlace un par de veces se muestra que el resultado de Google va al sitio "incorrecto", pero ir directamente a la URL (www.newwineireland.org) no genera una redirección.
¿Quizás tenga un problema de búsqueda en Google en lugar de un problema con el sitio?