可能的重複:
我的伺服器被駭客攻擊了 緊急情況
我有一個嘗試清理的表達式引擎網站。該資料庫已被授予許多新用戶,因此該資料庫似乎已被駭客攻擊/添加了連結。一個主要問題是,當在 Google 中點擊網站時,網站會被繞過。所有訪客都被重新導向到另一個網站。這是搜尋:http://tinyurl.com/72nzutj。第一個站點是有問題的站點。http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555我一直試圖在所有文件和資料庫中找到這個重定向,但我沒有運氣。我已檢查並確認,這不是 .htaccess 重定向。但到目前為止,我還無法在檔案或資料庫中找到 JScript 或 PHP 重定向。有想法嗎?
注意:沒有可用的乾淨資料庫版本
答案1
它只會重定向來自 Google(可能還有其他搜尋引擎)的引薦來源網址的人。
curl -e "http://www.google.co.uk/search?q=new+wine+ireland" --include http://www.newwineireland.org/
HTTP/1.1 302 Found
Date: Sun, 20 Nov 2011 11:44:17 GMT
Server: Apache
Location: http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555
Vary: Accept-Encoding
Content-Length: 239
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555">here</a>.</p>
</body></html>
回應的內容(在標頭之後)表示這是 Apache 產生的重定向,而不是 PHP 產生的重定向。大多數人不認為在使用 PHP header() 函數進行重定向時發送正文,並且該文字與 Apache 生成的正文完全匹配。
對我來說,這意味著它不是 PHP 文件,也不是儲存在資料庫中的 javascript 或元重定向。
基於此,我建議查看 Apache 設定檔。 /etc/apache(或發行版上的 /etc/httpd deoending)中的所有內容都需要檢查。它不一定是 RewriteRule 甚至 Redirect。它可能是額外的 Include 指令,用於從其他位置的另一個檔案載入重定向。它甚至可能是更改 .htaccess 檔案名稱的指令。
可以幫助您找到它的命令是grep -r "sweepstakesandcontestsinfo" /etc/apache。
你沒有提到如何您檢查過這不是 .htaccess 重定向。 .htaccess 是最有可能的選項,因為它通常不需要任何特殊權限即可在文件根目錄中寫入其中之一。
如果您還沒有這樣做,請執行以下命令: find /var/www -name .htaccess但將“/var/www”變更為您的文件根目錄。
如果沒有找到任何內容,請嘗試相同的命令,但使用 / 作為第一個參數。顯然,您必須檢查找到的每個 .htaccess 檔案中的每一行。
如果您發現某些 Apache 設定文件是改變,那麼這個攻擊者就擁有你的機器的 root 存取權。當時最好的應對措施是使其離線並開始適當的清潔。這裡和這裡都有很多問題安全性關於一旦解決了眼前的問題(即重定向)如何從妥協中恢復。
答案2
嘗試該連結幾次表明 Google 結果會轉到「錯誤」網站,但直接轉到該 URL (www.newwineireland.org) 不會導致重定向。
也許您遇到的是谷歌搜尋中毒而不是網站問題?