Expression Engine 사이트가 해킹됨 - 리디렉션 찾기

Google(아마도 다른 검색 엔진)의 리퍼러가 있는 사람들만 리디렉션합니다. 컬의 리퍼러 부분을 제거하면 일반 페이지로 돌아갑니다.

curl -e "http://www.google.co.uk/search?q=new+wine+ireland" --include http://www.newwineireland.org/
HTTP/1.1 302 Found
Date: Sun, 20 Nov 2011 11:44:17 GMT
Server: Apache
Location: http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555
Vary: Accept-Encoding
Content-Length: 239
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555">here</a>.</p>
</body></html>

응답 내용(헤더 뒤)은 이것이 PHP에서 생성된 리디렉션이 아니라 Apache에서 생성된 리디렉션임을 나타냅니다. 대부분의 사람들은 리디렉션을 위해 PHP header() 함수를 사용할 때 본문을 보낼 생각을 하지 않으며 해당 텍스트는 Apache에서 생성된 본문의 모양과 정확히 일치합니다.

나에게 이것은 PHP 파일이 아니며 데이터베이스에 저장된 자바 스크립트 또는 메타 리디렉션이 아니라는 것을 의미합니다.

이를 바탕으로 Apache 구성 파일을 살펴보는 것이 좋습니다. /etc/apache(또는 배포판의 /etc/httpd 정의)에 있는 모든 내용을 확인해야 합니다. RewriteRule이나 Redirect일 필요는 없습니다. 다른 곳에 있는 다른 파일의 리디렉션을 로드하는 추가 include 지시문일 수 있습니다. .htaccess 파일이 호출되는 내용을 변경하는 지시문일 수도 있습니다.

이를 찾는 데 도움이 되는 명령은 입니다 grep -r "sweepstakesandcontestsinfo" /etc/apache.

당신은 언급하지 않았습니다어떻게.htaccess 리디렉션이 아닌지 확인했습니다. .htaccess는 일반적으로 문서 루트 내부에 특별한 권한 중 하나를 쓰는 데 특별한 권한이 필요하지 않기 때문에 가장 가능성이 높은 옵션입니다.

아직 수행하지 않은 경우 다음을 실행하십시오. find /var/www -name .htaccess단, "/var/www"를 문서 루트로 변경하십시오.

아무것도 찾지 못하면 동일한 명령을 시도하되 /를 첫 번째 인수로 사용하십시오. 분명히, 찾은 모든 .htaccess 파일의 모든 줄을 확인해야 합니다.

Apache 구성 파일 중 일부를 발견한 경우~이다변경되면 이 공격자는 귀하의 시스템에 대한 루트 액세스 권한을 갖게 됩니다. 이때 가장 좋은 대응은 오프라인으로 전환하고 적절한 정리를 시작하는 것입니다. 여기와 여기 모두에 대해 많은 질문이 있습니다.보안.SE즉각적인 문제(리디렉션)를 해결한 후 손상에서 복구하는 방법에 대해 설명합니다.

링크를 몇 번 시도하면 Google 결과가 "잘못된" 사이트로 이동하는 것을 알 수 있지만 URL(www.newwineireland.org)로 직접 이동하면 리디렉션이 발생하지 않습니다.

아마도 사이트 문제라기보다는 구글 검색 중독이 아닐까요?