我的系统:CentOS 6.2 64 位 Apache 2.2.15 PHP 5.3.3 我有 WordPress 3.3.1。
我的服务器上有多个域配置为虚拟主机。网站文件的路径如下:/var/www/vhosts/mydomain.com/httpdocs/
该域的日志文件:/var/www/vhosts/mydomain.com/logs/
今天我在日志目录中发现了一个未知文件“index.html”。网站本身运行正常,我看不到核心文件有任何变化。
该index.html包含以下内容:
...
<META HTTP-EQUIV="Refresh" Content="0; URL=http://173.255.248.137"
...
此 URL 重定向到 vimeo.com 上的一些有线中文课程。所以,有人有类似的东西或知道这个文件是如何上传到我的服务器的吗?有什么日志文件我需要检查吗?
谢谢你的帮助!!!
答案1
检查您网站的目录(主要是主题目录、uploads 目录、wp-admin 子目录)和 .htaccess 文件以及 index.php、404.php、wp-config.php 的代码。如果有什么奇怪的地方,您就会发现。就我而言,第一次在我的 twentyten 主题目录中有一个 cgi-ssh 客户端,第二次在每个 php 页面中都有一个 eval(base64_decode()) 代码。
答案2
我检查了 WP,没有发现任何可疑的东西。我时不时会遇到这样的破解尝试:WordPress 防火墙已检测到并阻止了潜在的攻击!
网页:www.mydomain.com//wp-content/plugins/1-flash-gallery/upload.php?action=uploadify&fileext=php
警告:URL 可能包含危险内容!
违规 IP:178.137.167.112 [ 获取 IP 位置 ]
违规参数:$_FILE = wp-xml.php
因此,它们被 WP 防火墙阻止了,而且我甚至没有 1-flash-gallery 插件。
我认为有人试图将这个“index.html”注入到我的网站,但它以某种方式被保存到了日志目录中。我需要知道如何做!