Possível duplicata:
Meu servidor foi hackeado EMERGÊNCIA
Tenho um site do Expression Engine que tento limpar. O banco de dados recebeu muitos novos usuários, então parece que o banco de dados foi hackeado/links adicionados. Um grande problema é que o site, quando clicado no Google, está sendo ignorado. Todos os visitantes estão sendo redirecionados para outro site. Aqui está a pesquisa:http://tinyurl.com/72nzutj. O primeiro site é o em questão. O site para o qual eles são redirecionados éhttp://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555Tenho tentado encontrar esse redirecionamento em todos os arquivos e no banco de dados, mas não tive sorte. Não é um redirecionamento .htaccess, que verifiquei e confirmei. Mas ainda não consegui localizar um redirecionamento JScript ou PHP nos arquivos nem no banco de dados. Provavelmente bem escondido por causa de uma base64 ou criptografia compactada. Ideias?
Nota: nenhuma versão limpa do banco de dados está disponível
Responder1
Ele apenas redireciona pessoas com um referenciador do Google (possivelmente também de outros mecanismos de pesquisa). Se eu retirar a parte do referenciador do curl, recebo de volta uma página normal.
curl -e "http://www.google.co.uk/search?q=new+wine+ireland" --include http://www.newwineireland.org/
HTTP/1.1 302 Found
Date: Sun, 20 Nov 2011 11:44:17 GMT
Server: Apache
Location: http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555
Vary: Accept-Encoding
Content-Length: 239
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555">here</a>.</p>
</body></html>
O conteúdo da resposta (após os cabeçalhos) sugere que este é um redirecionamento gerado pelo Apache e não gerado pelo PHP. A maioria das pessoas não pensa em enviar um corpo ao usar a função PHP header() para redirecionamentos e esse texto corresponde exatamente à aparência de um corpo gerado pelo Apache.
Para mim, isso significa que não é um arquivo PHP e não é um javascript ou meta redirecionamento armazenado em seu banco de dados.
Com base nisso, sugiro procurar nos arquivos de configuração do Apache. Tudo em /etc/apache (ou /etc/httpd deoending em sua distribuição) precisa ser verificado. Não precisa ser um RewriteRule ou mesmo um Redirect. Poderia ser uma diretiva Incluir extra que carrega o redirecionamento de outro arquivo em outro lugar. Pode até ser uma diretiva que altera o nome dos arquivos .htaccess.
Um comando que pode ajudá-lo a encontrá-lo é grep -r "sweepstakesandcontestsinfo" /etc/apache.
Você não mencionoucomovocê verificou que não é um redirecionamento .htaccess. .htaccess é a opção mais provável porque geralmente não requer nenhum privilégio especial para escrever um deles dentro da raiz do documento.
Se você ainda não fez isso, execute isto: find /var/www -name .htaccessmas altere "/var/www" para a raiz do seu documento.
Se não encontrar nada, tente o mesmo comando, mas com / como primeiro argumento. Obviamente, você terá que verificar cada linha de cada arquivo .htaccess que encontrar.
Se você achar que alguns dos seus arquivos de configuração do Apachesãoalterado, então esse invasor terá acesso root em sua máquina. A melhor resposta nesse momento é colocá-lo off-line e iniciar uma limpeza adequada. Há muitas perguntas aqui esegurança.SEsobre como se recuperar de um comprometimento depois de ter resolvido o problema imediato (que é o redirecionamento).
Responder2
Tentar o link algumas vezes mostra que o resultado do Google vai para o site "errado", mas ir direto para o URL (www.newwineireland.org) não resulta em redirecionamento.
Talvez você tenha um envenenamento de pesquisa no Google em vez de um problema no site?