0

我们的网站最近被黑了(Joomla 1.5,托管在 VPS 上)。攻击者添加了一些重定向到某些广告网站的 php 脚本。我们已经清理了所有东西(或者至少我们认为我们已经清理了),现在一切正常。

然而,谷歌(或雅虎)上指向我们网站的链接仍在尝试包含这些 php 脚本(并返回 404,因为这些脚本现在已被删除)。来自浏览器的直接链接可以正常工作。

我们在 10 天前清理了网站,所以我认为 Google 服务器上没有缓存任何内容。现在应该完成重新索引。

要重现此行为:

  • 访问 www.google.com
  • 输入“anitex 袜子”
  • 单击任何以“anitexsocks.com”开头的 php 链接
  • 您将收到“在此服务器上找不到请求的 URL /wp-includes/client.php”+ 404 错误
  • 刷新页面,一切正常

为什么只有谷歌链接会造成麻烦?欢迎任何帮助。谢谢!

4

1 回答 1

3

至于发生这种情况的原因,我安装了一个 firefox 插件,它阻止了我的浏览器的 Referrer Header,然后按照 Google 链接指向您的网站,它运行良好。然后我禁用了插件,问题又开始出现了。

这表明您的网站上仍然运行着一些恶意代码,它正在检查所有 http 请求以查看它们是否来自 Google(基于检查 HTTP Referrer 标头),如果有,则将它们重定向到 /wp-includes/client.php ,

要尝试确定此代码可能存在的位置,请尝试通过您服务器上的所有 www 文件以及 www 配置文件执行递归 grep,那里的某处必须仍然有对该 client.php 脚本的引用,希望您可以找到并消除它。

也就是说,如果它是我的网站,并且我知道黑客可以自由支配我的服务器并为所欲为,我不会试图消除损坏,而是会恢复之前的最新备份。网站被黑了。您只需错过黑客留下的一个后门,他们就可以重新进入您的网站。恢复备份后,您还应该首先升级/重新配置他们用来获得访问权限的软件,这样他们就不能再次以相同的方式重新破解它。

于 2012-04-10T07:57:52.293 回答