Possível duplicata:
Meu servidor foi hackeado EMERGÊNCIA
Meu site foi hackeado recentemente. Acho que encontrei o código que foi adicionado ao arquivo htaccess, excluí-o e adicionei o script para evitar que o arquivo htaccess seja acessado novamente. Também excluí o arquivo php ao qual o código hackeado se refere (common.php). O que preciso fazer a seguir? Não sou programador ou desenvolvedor de sites, mas realmente queria ver se conseguiria resolver o problema sozinho, pois passei algumas horas tentando e não desisto facilmente.
Aqui está o código hackeado que eu excluí:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (google|yahoo) [OR]
RewriteCond %{HTTP_REFERER} (google|yahoo)
RewriteCond %{REQUEST_URI} /$ [OR]
RewriteCond %{REQUEST_FILENAME} (shtml|html|htm|php|xml|phtml|asp|aspx)$ [NC]
RewriteCond %{REQUEST_FILENAME} !common.php
RewriteCond /home/httpd/vhosts/bluestardive.com/httpdocs/common.php -f
RewriteRule ^.*$ /common.php [L]
</IfModule>
esse código deve permanecer no arquivo htaccess, pois redireciona meu URL para sites amigáveis ao SEO ou para erros do site, mas esse código também foi hackeado?
# Apache search queries statistic module
RewriteEngine On
AddHandler php5-fastcgi .php .php5
# <contrexx>
# <core_modules__alias>
RewriteRule ^about-us$ /index.php?page=883 [L,NC]
RewriteRule ^ausfluge-und-aktivitaten$ /index.php?page=800 [L,NC]
RewriteRule ^bluestardive-news$ /index.php?page=919 [L,NC]
RewriteRule ^bookings$ /index.php?page=911 [L,NC]
RewriteRule ^diveresort$ /index.php?page=879 [L,NC]
RewriteRule ^diving$ /index.php?page=880 [L,NC]
RewriteRule ^excursions-and-activities$ /index.php?page=881 [L,NC]
RewriteRule ^galerie$ /index.php?section=gallery [L,NC]
RewriteRule ^oceannight$ http://www.bluestardive.com/index.php?page=906 [L,NC]
RewriteRule ^philosophy$ /index.php?page=846 [L,NC]
RewriteRule ^reservation$ /index.php?page=917 [L,NC]
RewriteRule ^reservierung$ /index.php?page=918 [L,NC]
RewriteRule ^resort$ /index.php?page=798 [L,NC]
# </core_modules__alias>
# </contrexx>
Responder1
A melhor coisa a fazer em situações como essas é identificar o ponto de entrada do usuário e duplicar o ataque - não posso dizer se há algo suspeito adicionado ao .htaccess, pois não tenho ideia do que está dentro do index.php.
Se index.php ecoar os dados diretamente do banco de dados, então pode ser possível que ele tenha adicionado código malicioso dentro do banco de dados, ele possivelmente tenha criado alguns novos pontos de entrada (PHP Shells, Vulns) em outros arquivos.
Eu recomendo fortemente que você converse com um profissional de segurança - caso contrário, inspecione novamente todos os arquivos do seu servidor, incluindo as entradas do banco de dados.
Certifique-se de descobrir qual foi o ponto de entrada dele também, para evitar ataques futuros - se precisar de mais informações, você pode entrar em contato comigo.