Возможный дубликат:
Мой сервер был взломан ЭКСТРЕННО
У меня есть сайт Expression Engine, который я пытаюсь очистить. В базу данных добавлено много новых пользователей, поэтому, похоже, база данных была взломана / добавлены ссылки. Одна из основных проблем заключается в том, что при нажатии на сайт в Google он обходит стороной. Все посетители перенаправляются на другой сайт. Вот поиск:http://tinyurl.com/72nzutj. Первый сайт - это тот, о котором идет речь. Сайт, на который они перенаправляются, - этоhttp://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555Я пытался найти этот редирект во всех файлах и базе данных, но мне не повезло. Это не редирект .htaccess, я проверил и подтвердил. Но я не смог найти редирект JScript или PHP ни в файлах, ни в базе данных до сих пор. Вероятно, хорошо спрятан из-за base64 или упакованного шифрования. Идеи?
Примечание: чистая версия базы данных недоступна.
решение1
Он перенаправляет людей только с реферером из Google (возможно, также и из других поисковых систем). Если я уберу часть реферера из curl, я просто получу обычную страницу обратно.
curl -e "http://www.google.co.uk/search?q=new+wine+ireland" --include http://www.newwineireland.org/
HTTP/1.1 302 Found
Date: Sun, 20 Nov 2011 11:44:17 GMT
Server: Apache
Location: http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555
Vary: Accept-Encoding
Content-Length: 239
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555">here</a>.</p>
</body></html>
Содержание ответа (после заголовков) предполагает, что это сгенерированное Apache перенаправление, а не PHP. Большинство людей не думают отправлять тело при использовании функции PHP header() для перенаправлений, и этот текст точно соответствует тому, как будет выглядеть сгенерированное Apache тело.
Для меня это означает, что это не файл PHP и не JavaScript или мета-перенаправление, хранящееся в вашей базе данных.
Исходя из этого, я бы посоветовал заглянуть в файлы конфигурации Apache. Все в /etc/apache (или /etc/httpd deoending в вашем дистрибутиве) должно быть проверено. Это не обязательно должно быть RewriteRule или даже Redirect. Это может быть дополнительная директива Include, которая загружает перенаправление из другого файла где-то еще. Это может быть даже директива, которая изменяет то, как называются файлы .htaccess.
Команда, которая может помочь вам найти его, — grep -r "sweepstakesandcontestsinfo" /etc/apache.
Вы не упомянуликаквы проверили, что это не перенаправление .htaccess. .htaccess — наиболее вероятный вариант, поскольку обычно не требуются какие-либо особые привилегии для записи одного из них в корневой каталог документа.
Если вы еще этого не сделали, выполните это: find /var/www -name .htaccessно измените «/var/www» на корневой каталог вашего документа.
Если это ничего не обнаружит, попробуйте ту же команду, но с / в качестве первого аргумента. Очевидно, вам придется проверить каждую строку в каждом файле .htaccess, который вы найдете.
Если вы обнаружите, что некоторые из ваших файлов конфигурации Apacheявляютсяизменено, то этот злоумышленник имеет root-доступ к вашему ящику. Лучшим ответом в это время будет отключить его и начать надлежащую очистку. Есть много вопросов как здесь, так ибезопасность.SEо том, как восстановиться после взлома, как только вы устранили непосредственную проблему (которой является перенаправление).
решение2
Попытка перейти по ссылке несколько раз показывает, что результат поиска Google ведет на «неправильный» сайт, но переход по URL-адресу (www.newwineireland.org) не приводит к перенаправлению.
Возможно, у вас проблема с поиском Google, а не с сайтом?