Моя система: CentOS 6.2 64bit Apache 2.2.15 PHP 5.3.3 У меня WordPress 3.3.1.
У меня есть несколько доменов на моем сервере, настроенных как виртуальные хосты. Путь к файлам веб-сайта следующий: /var/www/vhosts/mydomain.com/httpdocs/
Файл журнала для этого домена: /var/www/vhosts/mydomain.com/logs/
Итак, сегодня я нашел неизвестный файл "index.html" в каталоге журналов. Сам веб-сайт работает нормально, и я не вижу никаких изменений в основных файлах.
Этот index.html содержит следующее:
...
<META HTTP-EQUIV="Refresh" Content="0; URL=http://173.255.248.137"
...
Этот URL-адрес перенаправляет на некоторые проводные курсы китайского языка на vimeo.com. Итак, у кого-нибудь есть что-то подобное или знает, как этот файл был загружен на мой сервер? Какие файлы журналов мне нужно проверить?
Спасибо за помощь!!!
Я проверил WP и ничего подозрительного не вижу. Время от времени у меня бывают такие попытки взлома: брандмауэр WordPress обнаружил и заблокировал потенциальную атаку!
Веб-страница: www.mydomain.com//wp-content/plugins/1-flash-gallery/upload.php?action=uploadify&fileext=php
Предупреждение: URL может содержать опасный контент!
Оскорбительный IP-адрес: 178.137.167.112 [Получить IP-адрес]
Оскорбительный параметр: $ _FILE = wp-xml.php
Итак, они заблокированы WP Firewall, а у меня даже нет плагина 1-flash-gallery.
Я думаю, что кто-то пытался внедрить этот "index.html" на мой сайт, но каким-то образом он был сохранен в каталог журналов. И мне нужно знать как!
Проверьте каталоги своего веб-сайта (в основном каталоги тем, каталог загрузок, подкаталоги wp-admin), файлы .htaccess и код index.php, 404.php, wp-config.php. если будет что-то странное, увидишь. В моем случае в первый раз был клиент cgi-ssh в моем каталоге тем двадцать десять, а во второй раз на каждой странице php был код eval (base64_decode ()).