サイトはバイアグラストアにリダイレクトされています。いつもの容疑者は何も出ない

Question

バイアグラストア（mywifeishappy.com）にリダイレクトされるクライアントのサイト（ http://changewise.biz ）があります。通常の容疑者をすべて調べましたが、リダイレクトを引き起こしている原因を特定できません。

最初に、すべての.htaccessファイルを確認しました。すべてきれい。
Robots.txtを確認しました。もう一度、何もしません。
すべての522 PHPファイルに悪意のあるコードがないかチェックしました（これはWordPressサイトです）。base64decodeの一部のコードwp-optionsサイトのテーブル。これの76の実例、それらすべてはまだ喜びなしで取り除かれました。
Google Webmastersに行って、Googleにサイトのインデックスの再作成を依頼しました（サイトに関するインデックスデータが間違っていた場合に備えて）。これは時間がかかる場合があります。

奇妙なのは、ブラウザーで直接URLを介してサイトにアクセスすると（ http://changewise.biz ）、正常に表示されることです。クライアントがブラウザーでこれを行うと、サイトは最終的にバイアグラになります。そして-Googleが "changewise"で、GoogleがSERPで返すリンクをクリックすると、サイトはViagraストアにリダイレクトされます。

これについて何か考えを持っている人はいますか？私はRackSpaceのテクニカルサポートと話をしてきましたが、彼らはアイデアを提供できません。ホスティングセットアップに他の脆弱性はありません。私もそうですが、クライアントは非常にイライラしています。

mcgyver5 · Answer

Google検索から、changewise.bizへのWebリクエストからリファラー（www.google.com）を削除すると、スパムサイトにリダイレクトされないことに気付きました。

リファラーを削除しないと、スパムサイトが表示されます（その後のリクエストは、ブラウザーにキャッシュされるため、常に取得されます）。

だから私は欠陥のある古いGoogleデータではなく、リファラーを見るあなたのサイトの何かだと思います。

Google.comから参照されると、サイトは次のhttp応答を提供します。

HTTP/1.1 301 Moved Permanently Server: Apache/2.2 Content-Type: text/html; charset=iso-8859-1 Date: Fri, 25 Apr 2014 14:10:26 GMT Location: http://mywifeishappy.com/ Connection: Keep-Alive Content-Length: 305 <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>301 Moved Permanently</title> </head><body> <h1>Moved Permanently</h1> <p>The document has moved <a href="http://mywifeishappy.com/">here</a>.</p> <hr> <address>Apache/2.2 Server at www.changewise.biz Port 80</address> </body></html>

Steffen Ullrich · Answer

存在しないページにgoogle \のようなものでアクセスすることもあるので、Apacheプロセス自体はバックドアされることをお勧めします。リファラーでリダイレクトされます。例えば。お気に入り

GET /this-page-does-not-exist/ HTTP/1.0 Host: www.changewise.biz Referer: foobargoogle.

Googleで「Apacheバックドアリダイレクトリファラー」を検索してください。同様の問題に関する十分なレポートが見つかります。最善の対応は、サーバーをすぐに停止して（顧客が感染するのを防ぎ、評判を保存するため）、バックドアの影響を受けていないことがわかっているソースから再度インストールすることです。

paul · Answer

私は数ヶ月前に似たようなものを持っていました。問題のあるコードは、uploadsフォルダーのjpgファイルにphpで隠されていたことが判明しました。

アップロード（ドット隠しファイルを含む）を実行し、それぞれに対してfileを実行します。羊がすべて羊であり、狼を隠していないことを確認してください。

Douglas Leeder · Answer

JavaScriptをオフにし、それでもリダイレクトされるかどうかを確認します。

1）それでもリダイレクトされる場合、問題はサーバー側のコードにあり、リダイレクトを生成しています（永続的であり、クライアントのブラウザーによって保存されている可能性があります）。

2）リダイレクトされない場合、問題は返されたJavaScriptにあります。ブラウザでJavaScriptのキャッシュを確認し、サイトがクリーンアップされていることを確認してください。

that guy from over there · Answer

これは間違いなくある種の参照元ハイジャックです。 .htaccessファイルとPHPコードを確認しましたが、見つかったbase64をデコードしようとしましたか？

Docrootがクリーンな場合は、server-configを確認することをお勧めしますが、何らかの Apache/ebury/cdorkルートキットの可能性がありますが、私の最初の推測は次のとおりです。

一部の悪意のあるPHP includeは、リファラーヘッダーにGoogleが見つかった場合にそれらのリダイレクトを計算します
.htaccess操作。

WordPress +プラグインのバージョンは最新ですか？PLESKやWMHCやその他のサーバー管理ソフトウェアなどのペストを実行してサーバーを管理していますか？

編集：

クリーンなバックアップがある場合は、各ファイルに対してdiffを実行して、悪意のあるインクルード「n」のものを見つけます。「感染した」ドキュメントルートのコピーをお持ちですか？

誰かがサーバー上のファイルを変更できる場合は、侵害につながる脆弱性も見つける必要があります。そうでない場合、これは再び発生します。

また、webserver-userの奇妙なcrontabを確認する必要があります（rootとして：crontab -l -u $ webserver-user）

Tiernan · Answer

Public_htmlディレクトリの名前をpublic_html.bakなどに変更してから、テストする静的htmlページを含む新しい新鮮なpublic_htmlディレクトリを作成してください。

これにより、問題がサイト自体またはデータベースにあるのか、または侵害されたのがApacheサーバーまたは構成自体にあるのかが証明されます。上記で問題が解決しない場合は、ホスティングボックス自体が侵害されていると思います。

上記でリダイレクトが停止した場合は、新しいwordpressインストールしてデータをインストールし、復元して再構築します。