Сайт Expression Engine взломан - Найдите перенаправление [дубликат]
Возможный дубликат:
Мой сервер был взломан АВАРИЙНАЯ СИТУАЦИЯ
У меня есть веб-сайт Expression Engine, который я пытаюсь очистить. База данных получила много новых пользователей, поэтому кажется, что база данных была взломана / добавлены ссылки.Одна из основных проблем заключается в том, что при нажатии на сайт в Google происходит обход. Все посетители перенаправляются на другой сайт. Вот поиск: http://tinyurl.com/72nzutj . Первый сайт - это тот, о котором идет речь. Сайт, на который они перенаправляются, - http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555 Я пытался найти это перенаправление во всех файлах и база данных, но мне не повезло. Это не перенаправление .htaccess, которое я проверил и подтвердил. Но мне пока не удалось найти перенаправление JScript или PHP в файлах или базе данных. Вероятно, они хорошо скрыты из-за base64 или упакованного шифрования. Идеи?
Примечание: нет чистой версии базы данных
Он перенаправляет людей только с реферером из Google (возможно, также с других поисковых систем). Если я уберу часть реферера в curl, я просто верну нормальную страницу.
curl -e "http://www.google.co.uk/search?q=new+wine+ireland" --include http://www.newwineireland.org/
HTTP/1.1 302 Found
Date: Sun, 20 Nov 2011 11:44:17 GMT
Server: Apache
Location: http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555
Vary: Accept-Encoding
Content-Length: 239
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555">here</a>.</p>
</body></html>
Содержание ответ (после заголовков) предполагает, что это перенаправление, созданное Apache, а не PHP. Большинство людей не думают отправлять тело при использовании функции PHP header () для перенаправления, и этот текст в точности соответствует тому, как могло бы выглядеть тело, созданное Apache.
Для меня это означает, что это не файл PHP и не javascript или мета-перенаправление, хранящиеся в вашей базе данных.
На основании этого я бы предложил поискать в файлах конфигурации Apache. Все в / etc / apache (или / etc / httpd deoending в вашем дистрибутиве) необходимо проверить. Это не обязательно должно быть RewriteRule или даже Redirect. Это может быть дополнительная директива Include, которая загружает перенаправление из другого файла в другое место. Это может быть даже директива, которая изменяет то, что вызываются файлы .htaccess.
Команда, которая может помочь вам найти это, - это grep -r "sweepstakesandcontestsinfo" /etc/apache].
Вы не сделали ' Упомяните , как вы проверили, что это не перенаправление .htaccess. .htaccess - наиболее вероятный вариант, потому что обычно не требуется никаких специальных привилегий для записи одного из них в корень документа.
Если вы еще этого не сделали, запустите это: find / var / www -name .htaccess , но измените "/ var / www" на корень вашего документа.
Если ничего не найдено, попробуйте ту же команду, но с / в качестве первого аргумента. Очевидно, вам нужно будет проверить каждую строку в каждом файле .htaccess, который вы найдете.
Если вы обнаружите, что некоторые из ваших файлов конфигурации Apache изменены, то этот злоумышленник имеет root-доступ к вашему компьютеру. Лучший ответ в этот момент - отключить его и начать надлежащую очистку. Есть много вопросов как здесь, так и по security.SE о том, как восстановиться после компрометации после устранения непосредственной проблемы (которая является перенаправлением).
Несколько попыток ссылки показывает, что результат Google попадает на "неправильный" сайт, но переход прямо на URL-адрес (www.newwineireland.org) не приводит к перенаправлению .
Возможно, у вас проблема с поиском Google, а не с сайтом?