我遇到了一个涉及 WP 环境中的恶意软件的问题。当我在 Google 中搜索品牌并单击相应链接时,我被重定向到第三方垃圾邮件站点。
这种情况已经发生了一段时间(超过一周),但我的网站还没有被列入谷歌的黑名单。此外,像 Norton Safeweb 等网站扫描程序都声称该网站没有受到威胁。
我发现并删除了一些可疑的 PHPeval()函数,然后在我的页面和数据库中搜索并替换了任何剩余的代码。在该网站被 Google 清除为非黑名单状态后,我认为一切都结束了,运行更新并采取了许多措施来保护该网站免受未来的感染。
但是问题仍然存在。
恶意软件或攻击者是否曾经更改过域名服务器?Google 可能为您的域提供了错误的 DNS 信息,并认为它托管在上述垃圾邮件站点上?将您的网站重新提交给 Google 或将问题报告给他们以解决(也可能会在下次 Google 尝试抓取您的域时自动解决)?
这是一个我以前也没有见过的奇怪问题,你看过根目录中的 .htaccess 文件了吗?这也可能具有重写条件,即如果引荐来源是 Google,则将您重定向到垃圾邮件站点。
解决了这个问题。在发生这种情况时,这种重定向攻击是相当新的。
从 Google 搜索或 Bing 传递引荐来源数据的访问者的 HTTP 请求有时会被重定向。
通过只针对那些来自搜索的人,网站管理员或网站所有者不太可能看到问题(直到第三方通知),同时仍然操纵相当数量的流量(大多数网站50% 的流量来自搜索引擎)。
When I originally posted this question in 2012, this attack was new and because the redirect was being served server-side (directly in a lone PHP file, not via .htaccess), malware signatures from scanners didn't detect this.
Running Maldetect (with an updated database) was the best way to quarantine this issue and analyze the extent of the damage caused by malware.
This issue seems due to wp-vcd Malware that creates rogue WordPress admin users and injected spam links. I faced the similar issue and it got resolved after following these steps.
The files you should check for and delete:
wp-feed.php
wp-vcd.php
wp-tmp.php
Multiple copies of class.theme-modules.php, and
remove a bunch of code from the start of all the functions.php files.
For details you can find on this issue at following links...
https://wordpress.org/support/topic/wp-feed-php/