Возможный дубликат:
Мой сервер был взломан в АВАРИИ
У меня есть веб-сайт Expression Engine, который я пытаюсь очистить. База данных получила много новых пользователей, поэтому кажется, что база данных была взломана / добавлены ссылки. Одна из основных проблем заключается в том, что при нажатии на сайт в Google происходит обход. Все посетители перенаправляются на другой сайт. Вот поиск: http://tinyurl.com/72nzutj . Это первый сайт, о котором идет речь. Сайт, на который они перенаправляются, http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555 Я пытался найти это перенаправление во всех файлах и базе данных, но мне не повезло. Это не перенаправление .htaccess, которое я проверил и подтвердил. Но мне пока не удалось найти перенаправление JScript или PHP в файлах или базе данных. Вероятно, он хорошо скрыт из-за base64 или упакованного шифрования. Идеи?
NB нет доступной чистой версии базы данных
Попытка установить ссылку несколько раз показывает, что результат Google попадает на «неправильный» сайт, но переход прямо по URL-адресу (www.newwineireland.org) не приводит к перенаправлению.
Возможно, у вас проблема с поиском в Google, а не с сайтом?
Он перенаправляет только людей с реферером из Google (возможно, также из других поисковых систем). Если я уберу часть реферера из curl, я просто верну нормальную страницу.
curl -e "http://www.google.co.uk/search?q=new+wine+ireland" --include http://www.newwineireland.org/
HTTP/1.1 302 Found
Date: Sun, 20 Nov 2011 11:44:17 GMT
Server: Apache
Location: http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555
Vary: Accept-Encoding
Content-Length: 239
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555">here</a>.</p>
</body></html>
Содержание ответа (после заголовков) предполагает, что это перенаправление, созданное Apache, а не PHP. Большинство людей не думают отправлять тело при использовании функции PHP header () для перенаправления, и этот текст в точности соответствует тому, как будет выглядеть тело, созданное Apache.
Для меня это означает, что это не файл PHP и не javascript или мета-перенаправление, хранящиеся в вашей базе данных.
Исходя из этого, я бы посоветовал поискать файлы конфигурации Apache. Все в / etc / apache (или / etc / httpd deoending в вашем дистрибутиве) необходимо проверить. Это не обязательно должно быть RewriteRule или даже Redirect. Это может быть дополнительная директива Include, которая загружает перенаправление из другого файла в другое место. Это может быть даже директива, изменяющая вызываемые файлы .htaccess.
Команда, которая может помочь вам найти это grep -r "sweepstakesandcontestsinfo" /etc/apache.
Ты не упомянул как вы проверили, что это не перенаправление .htaccess. .htaccess - наиболее вероятный вариант, потому что обычно не требуется никаких специальных привилегий для записи одного из них в корень документа.
Если вы еще этого не сделали, запустите это: find /var/www -name .htaccess но измените "/ var / www" на корень вашего документа.
Если ничего не найдено, попробуйте ту же команду, но с / в качестве первого аргумента. Очевидно, вам придется проверять каждую строку в каждом найденном вами файле .htaccess.
Если вы обнаружите, что некоторые из ваших файлов конфигурации Apache являются изменен, то у злоумышленника есть root-доступ к вашему компьютеру. Лучший ответ в этот момент - отключить его и начать надлежащую очистку. Есть много вопросов как здесь, так и безопасность.SE о том, как восстановиться после компрометации после устранения непосредственной проблемы (которая является перенаправлением).