バイアグラストア(mywifeishappy.com)にリダイレクトされるクライアントのサイト( http://changewise.biz )があります。通常の容疑者をすべて調べましたが、リダイレクトを引き起こしている原因を特定できません。
base64decode
の一部のコードwp-options
サイトのテーブル。これの76の実例、それらすべてはまだ喜びなしで取り除かれました。奇妙なのは、ブラウザーで直接URLを介してサイトにアクセスすると( http://changewise.biz )、正常に表示されることです。クライアントがブラウザーでこれを行うと、サイトは最終的にバイアグラになります。そして-Googleが "changewise"で、GoogleがSERPで返すリンクをクリックすると、サイトはViagraストアにリダイレクトされます。
これについて何か考えを持っている人はいますか?私はRackSpaceのテクニカルサポートと話をしてきましたが、彼らはアイデアを提供できません。ホスティングセットアップに他の脆弱性はありません。私もそうですが、クライアントは非常にイライラしています。
Google検索から、changewise.bizへのWebリクエストからリファラー(www.google.com)を削除すると、スパムサイトにリダイレクトされないことに気付きました。
リファラーを削除しないと、スパムサイトが表示されます(その後のリクエストは、ブラウザーにキャッシュされるため、常に取得されます)。
だから私は欠陥のある古いGoogleデータではなく、リファラーを見るあなたのサイトの何かだと思います。
Google.comから参照されると、サイトは次のhttp応答を提供します。
HTTP/1.1 301 Moved Permanently
Server: Apache/2.2
Content-Type: text/html; charset=iso-8859-1
Date: Fri, 25 Apr 2014 14:10:26 GMT
Location: http://mywifeishappy.com/
Connection: Keep-Alive
Content-Length: 305
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://mywifeishappy.com/">here</a>.</p>
<hr>
<address>Apache/2.2 Server at www.changewise.biz Port 80</address>
</body></html>
存在しないページにgoogle \のようなものでアクセスすることもあるので、Apacheプロセス自体はバックドアされることをお勧めします。リファラーでリダイレクトされます。例えば。お気に入り
GET /this-page-does-not-exist/ HTTP/1.0
Host: www.changewise.biz
Referer: foobargoogle.
Googleで「Apacheバックドアリダイレクトリファラー」を検索してください。同様の問題に関する十分なレポートが見つかります。最善の対応は、サーバーをすぐに停止して(顧客が感染するのを防ぎ、評判を保存するため)、バックドアの影響を受けていないことがわかっているソースから再度インストールすることです。
私は数ヶ月前に似たようなものを持っていました。問題のあるコードは、uploadsフォルダーのjpgファイルにphpで隠されていたことが判明しました。
アップロード(ドット隠しファイルを含む)を実行し、それぞれに対してfile
を実行します。羊がすべて羊であり、狼を隠していないことを確認してください。
JavaScriptをオフにし、それでもリダイレクトされるかどうかを確認します。
1)それでもリダイレクトされる場合、問題はサーバー側のコードにあり、リダイレクトを生成しています(永続的であり、クライアントのブラウザーによって保存されている可能性があります)。
2)リダイレクトされない場合、問題は返されたJavaScriptにあります。ブラウザでJavaScriptのキャッシュを確認し、サイトがクリーンアップされていることを確認してください。
これは間違いなくある種の参照元ハイジャックです。 .htaccess
ファイルとPHPコードを確認しましたが、見つかったbase64をデコードしようとしましたか?
Docrootがクリーンな場合は、server-configを確認することをお勧めしますが、何らかの Apache/ebury/cdorkルートキット の可能性がありますが、私の最初の推測は次のとおりです。
.htaccess
操作。WordPress +プラグインのバージョンは最新ですか?PLESKやWMHCやその他のサーバー管理ソフトウェアなどのペストを実行してサーバーを管理していますか?
編集:
クリーンなバックアップがある場合は、各ファイルに対してdiffを実行して、悪意のあるインクルード「n」のものを見つけます。 「感染した」ドキュメントルートのコピーをお持ちですか?
誰かがサーバー上のファイルを変更できる場合は、侵害につながる脆弱性も見つける必要があります。そうでない場合、これは再び発生します。
また、webserver-userの奇妙なcrontabを確認する必要があります(rootとして:crontab -l -u $ webserver-user)
Public_htmlディレクトリの名前をpublic_html.bakなどに変更してから、テストする静的htmlページを含む新しい新鮮なpublic_htmlディレクトリを作成してください。
これにより、問題がサイト自体またはデータベースにあるのか、または侵害されたのがApacheサーバーまたは構成自体にあるのかが証明されます。上記で問題が解決しない場合は、ホスティングボックス自体が侵害されていると思います。
上記でリダイレクトが停止した場合は、新しいwordpressインストールしてデータをインストールし、復元して再構築します。