web-dev-qa-db-ja.com

サイトはバイアグラストアにリダイレクトされています。いつもの容疑者は何も出ない

バイアグラストア(mywifeishappy.com)にリダイレクトされるクライアントのサイト( http://changewise.biz )があります。通常の容疑者をすべて調べましたが、リダイレクトを引き起こしている原因を特定できません。

  • 最初に、すべての.htaccessファイルを確認しました。すべてきれい。
  • Robots.txtを確認しました。もう一度、何もしません。
  • すべての522 PHPファイルに悪意のあるコードがないかチェックしました(これはWordPressサイトです)。base64decodeの一部のコードwp-optionsサイトのテーブル。これの76の実例、それらすべてはまだ喜びなしで取り除かれました。
  • Google Webmastersに行って、Googleにサイトのインデックスの再作成を依頼しました(サイトに関するインデックスデータが間違っていた場合に備えて)。これは時間がかかる場合があります。

奇妙なのは、ブラウザーで直接URLを介してサイトにアクセスすると( http://changewise.biz )、正常に表示されることです。クライアントがブラウザーでこれを行うと、サイトは最終的にバイアグラになります。そして-Googleが "changewise"で、GoogleがSERPで返すリンクをクリックすると、サイトはViagraストアにリダイレクトされます。

これについて何か考えを持っている人はいますか?私はRackSpaceのテクニカルサポートと話をしてきましたが、彼らはアイデアを提供できません。ホスティングセットアップに他の脆弱性はありません。私もそうですが、クライアントは非常にイライラしています。

48
Lew

Google検索から、changewise.bizへのWebリクエストからリファラー(www.google.com)を削除すると、スパムサイトにリダイレクトされないことに気付きました。

リファラーを削除しないと、スパムサイトが表示されます(その後のリクエストは、ブラウザーにキャッシュされるため、常に取得されます)。

だから私は欠陥のある古いGoogleデータではなく、リファラーを見るあなたのサイトの何かだと思います。

Google.comから参照されると、サイトは次のhttp応答を提供します。

HTTP/1.1 301 Moved Permanently
Server: Apache/2.2
Content-Type: text/html; charset=iso-8859-1
Date: Fri, 25 Apr 2014 14:10:26 GMT
Location: http://mywifeishappy.com/
Connection: Keep-Alive
Content-Length: 305

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://mywifeishappy.com/">here</a>.</p>
<hr>
<address>Apache/2.2 Server at www.changewise.biz Port 80</address>
</body></html>
39
mcgyver5

存在しないページにgoogle \のようなものでアクセスすることもあるので、Apacheプロセス自体はバックドアされることをお勧めします。リファラーでリダイレクトされます。例えば。お気に入り

GET /this-page-does-not-exist/ HTTP/1.0
Host: www.changewise.biz
Referer: foobargoogle.

Googleで「Apacheバックドアリダイレクトリファラー」を検索してください。同様の問題に関する十分なレポートが見つかります。最善の対応は、サーバーをすぐに停止して(顧客が感染するのを防ぎ、評判を保存するため)、バックドアの影響を受けていないことがわかっているソースから再度インストールすることです。

23
Steffen Ullrich

私は数ヶ月前に似たようなものを持っていました。問題のあるコードは、uploadsフォルダーのjpgファイルにphpで隠されていたことが判明しました。

アップロード(ドット隠しファイルを含む)を実行し、それぞれに対してfileを実行します。羊がすべて羊であり、狼を隠していないことを確認してください。

8
paul

JavaScriptをオフにし、それでもリダイレクトされるかどうかを確認します。

1)それでもリダイレクトされる場合、問題はサーバー側のコードにあり、リダイレクトを生成しています(永続的であり、クライアントのブラウザーによって保存されている可能性があります)。

2)リダイレクトされない場合、問題は返されたJavaScriptにあります。ブラウザでJavaScriptのキャッシュを確認し、サイトがクリーンアップされていることを確認してください。

3
Douglas Leeder

これは間違いなくある種の参照元ハイジャックです。 .htaccessファイルとPHPコードを確認しましたが、見つかったbase64をデコードしようとしましたか?

Docrootがクリーンな場合は、server-configを確認することをお勧めしますが、何らかの Apache/ebury/cdorkルートキット の可能性がありますが、私の最初の推測は次のとおりです。

  • 一部の悪意のあるPHP includeは、リファラーヘッダーにGoogleが見つかった場合にそれらのリダイレクトを計算します
  • .htaccess操作。

WordPress +プラグインのバージョンは最新ですか?PLESKやWMHCやその他のサーバー管理ソフトウェアなどのペストを実行してサーバーを管理していますか?

編集:

クリーンなバックアップがある場合は、各ファイルに対してdiffを実行して、悪意のあるインクルード「n」のものを見つけます。 「感染した」ドキュメントルートのコピーをお持ちですか?

誰かがサーバー上のファイルを変更できる場合は、侵害につながる脆弱性も見つける必要があります。そうでない場合、これは再び発生します。

また、webserver-userの奇妙なcrontabを確認する必要があります(rootとして:crontab -l -u $ webserver-user)

Public_htmlディレクトリの名前をpublic_html.bakなどに変更してから、テストする静的htmlページを含む新しい新鮮なpublic_htmlディレクトリを作成してください。

これにより、問題がサイト自体またはデータベースにあるのか、または侵害されたのがApacheサーバーまたは構成自体にあるのかが証明されます。上記で問題が解決しない場合は、ホスティングボックス自体が侵害されていると思います。

上記でリダイレクトが停止した場合は、新しいwordpressインストールしてデータをインストールし、復元して再構築します。

2
Tiernan