0

私たちのウェブサイトは最近ハッキングされました(Joomla 1.5、VPSでホストされています)。攻撃者は、いくつかの広告サイトにリダイレクトするいくつかのphpスクリプトを追加しました。すべてをクリーンアップし(または少なくとも実行したと思います)、すべてが正常に機能するようになりました。

ただし、Google(またはYahoo)上のWebサイトを指すリンクは、これらのphpスクリプトを含めようとしています(これらは現在削除されているため、404を返します)。ブラウザからの直接リンクは正常に機能します。

10日前にサイトをクリーンアップしたので、Googleサーバーに何かがキャッシュされているとは思いません。インデックスの再作成は、これまでに行う必要があります。

この動作を再現するには:

  • www.google.comにアクセスします
  • 「anitexsocks」と入力します
  • 「anitexsocks.com」で始まるphpリンクをクリックします
  • 「要求されたURL/wp-includes/client.phpがこのサーバーで見つかりませんでした」+404エラーが表示されます
  • ページを更新すると、すべてが問題なく機能します

なぜグーグルリンクだけが問題を起こしているのですか?どんな助けでも大歓迎です。ありがとう!

4

1 に答える 1

3

これが発生する理由として、ブラウザのリファラーヘッダーをブロックするFirefoxアドオンをインストールしてから、サイトへのGoogleリンクをたどると、正常に機能しました。次に、アドオンを無効にすると、問題が再び発生し始めました。

これは、すべてのhttpリクエストをチェックして(HTTPリファラーヘッダーのチェックに基づいて)Googleからのものかどうかを確認し、リダイレクトする場合は/wp-includes/client.phpにリダイレクトする悪意のあるコードがWebサイトで実行されていることを示しています。 、

To try to determine where this code may lie, try performing a recursive grep through all your www files on your server as well as your www configuration files,somewhere in there there must still be a reference to that client.php script, hopefully you can find and eliminate it.

That said, if it were my site and I knew a hacker had had free reign over my server to do whatever they wanted to it, I would not mess around with trying to undo the damage and would instead restore the most recent backup from before the site was hacked. You only have to miss one back door the hacker left in place and they can re-enter your site. After restoring backups, you should also upgrade/reconfigure the software they used to gain access in the first place so they can't simply rehack it in the same manner again.

于 2012-04-10T07:57:52.293 に答える