可能重复:
我的服务器被黑了应急
我有一个expression式引擎网站,我尝试清理。 该数据库已经给了很多新的用户,所以似乎数据库已被黑客/链接添加。 一个主要问题是,在Google中点击的网站正在被绕过。 所有访问者正被redirect到另一个网站。 这里是search: http : //tinyurl.com/72nzutj 。 第一个网站是有问题的..他们被redirect到的网站是http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555我一直在试图find这个redirect的所有文件和数据库,但我没有运气。 这不是一个.htaccessredirect,我已经检查和确认。 但是,我还没有能够find文件或数据库中的JScript或PHP的redirect到目前为止..可能是隐藏的,因为base64或打包encryption。 想法?
NB没有可用的清洁数据库版本
它只会将来自Google的引荐来源人(也可能是其他search引擎)redirect到人们。如果我将curl的引荐来源部分取消,那么我只会返回一个正常页面。
curl -e "http://www.google.co.uk/search?q=new+wine+ireland" --include http://www.newwineireland.org/ HTTP/1.1 302 Found Date: Sun, 20 Nov 2011 11:44:17 GMT Server: Apache Location: http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555 Vary: Accept-Encoding Content-Length: 239 Content-Type: text/html; charset=iso-8859-1 <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>302 Found</title> </head><body> <h1>Found</h1> <p>The document has moved <a href="http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555">here</a>.</p> </body></html> 响应的内容(标题之后)表明这是Apache生成的redirect,而不是PHP生成的。 大多数人在使用PHP header()函数进行redirect时,并不认为要发送正文,而且这些文本恰好与Apache生成的正文相匹配。
对我来说,这意味着它不是一个PHP文件,它不是存储在数据库中的JavaScript或元redirect。
基于这个我build议看一下Apache的configuration文件。 所有/ etc / apache(或者你的发行版中的/ etc / httpd deoending)都需要检查。 它不一定是一个重写规则,甚至是一个redirect。 这可能是一个额外的包含指令,从另一个文件加载redirect。 它甚至可能是一个指令,改变什么.htaccess文件被调用。
一个可能帮助你find它的命令是grep -r "sweepstakesandcontestsinfo" /etc/apache 。
你没有提到你是如何检查,它不是一个.htaccessredirect。 .htaccess是最有可能的选项,因为它通常不需要任何特殊的权限来写入文档根目录中的一个。
如果您还没有这样做,请运行: find /var/www -name .htaccess但将“/ var / www”更改为您的文档根目录。
如果没有find任何东西,请尝试使用相同的命令,但使用/作为第一个参数。 显然,你将不得不检查每个.htaccess文件中的每一行。
如果您发现某些Apacheconfiguration文件已更改,则此攻击者可以在您的机器上进行root访问。 当时最好的回应是把它拿下来,并开始适当的清理。 在这里和安全问题上有许多问题。一旦你清除了直接的问题(这是redirect),如何从妥协中恢复。
多次尝试链接显示,Google的结果会转到“错误的”网站,但直接转到URL(www.newwineireland.org)不会导致redirect。
也许你有一个谷歌search中毒,而不是一个网站的问题?