1

首先,这里是主网站http://prestigesolar.net/

我刚收到一封电子邮件,上面写着“嘿,此链接将转到其他地方,它不应该这样做,请将其更改为正确的页面链接

有问题的链接是,如果您访问上面的网站并向下滚动,您会看到 3 列。问题从第一列开始,上面写着“ Hurricane Resistant Windows & Doors

当您将鼠标悬停在图像/标题/“阅读更多”链接上时,它们都指向 seo 友好链接,例如等等( prestigesolar.net/Hurricane-Resistant-Windows-Doors )。但是当您单击它时,它会转到一些垃圾邮件站点。

此外,当该垃圾邮件站点加载时,地址栏上的 url 与页面最初应该转到的 SEO 友好链接读取相同。

我进去查看链接及其以 WordPress 方式硬编码的内容,如下所示

<a href="<?php bloginfo('url');?>/hurricane-resistant-windows-doors">

并且仍然会导致垃圾邮件站点。当我手动更改链接以指向谷歌<a href="https://www.google.com/">时,它仍然进入垃圾邮件站点。

我去 .htaccess 只是为了细读,除了正常之外什么也没看到。(见下文)

# BEGIN WordPress

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^index\.php$ - [L]

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>



# END WordPress

然后我在 WordPress 方面进入页面本身,查看 HTML 选项卡,什么也没有。只是文本和一些普通的 p 标签等。

然后我下载了页面和 single.php 文件,它们非常简单。他们什么都没有。简单的包括页脚/页眉/侧边栏文件。

我搜索了这 3 个(页脚/页眉/侧边栏),没有任何异常。

在旁注中,当我通过 WordPress 后端手动转到该页面并单击“查看页面”按钮时,该页面将正常打开。如果我然后导航到另一个页面并点击后退按钮导航回该页面,它也会像往常一样加载。如果我复制网址并在另一个浏览器中粘贴并访问它,它会正常加载。它只是在从主页点击到该页面之间的过渡中,劫持正在发生。

我已经有一段时间试图弄清楚了,但我没有想法。有人可以指出我正确的方向吗???任何帮助,提示,任何我都非常感激的东西。

提前致谢。

4

1 回答 1

2

看起来您有两个不同的页面(两个不同的 URL),其中一个已被此垃圾邮件 HTML 覆盖(或创建),并且实际上存在于prestigesolar.net服务器上(因此不涉及重定向)。

错误页面位于:

http://prestigesolar.net/hurricane-resistant-windows-doors

哪里-正确的页面在:

http://prestigesolar.net/hurricane-resistant-windows-and-doors

区别在于-and部分。

如果有人设法将不需要的页面写入您的服务器/站点,最好更改您的 wordpress 登录名和可能涉及的任何其他密码,并确保删除有问题的附加页面。

更新

不幸的是,如果没有关于您的具体设置的更多信息,很难说出发生了什么,假设您使用的是 WordPress 的捆绑版本(即安装的版本而不是 wordpress.com),攻击者似乎实际上已经获得了通过 FTP 或 SSH 访问您的服务器,如果您在使用 WordPress 管理面板时看不到任何此类垃圾邮件内容,则此假设得到重申。

通过查看源代码,您需要在服务器中搜索以下文件和目录:

garca
click1.php 
click3.php

假设您有 SSH 访问权限并且您的服务器正在运行 Linux 风格,您可以使用以下命令搜索整个 Web 目录:

find / -name "click1.php"

Replace the slash with your webroot folder, and the "quoted" section for what you are searching for i.e. "garca". The above hopefully should track something down, if not, it could be because the attacker has masked the files either by .htaccess (which you have already checked) or by something even more worrying, i.e. modifying your apache.conf.

Other than the above I don't know what else to suggest, change all log-ins, and if you are using a particular web host possibly let them know as the security hole might be due to software that they have installed elsewhere. You should probably also upgrade your version of WordPress as new security holes are discovered in that kind of software all the time.

Good luck with it.

于 2013-03-29T23:58:46.027 回答