1

まず、メインサイトはこちらhttp://prestigesolar.net/

ねえ、このリンクは別の場所に移動しますが、それを行うべきではありません。正しいページのリンクに変更してください」というメールを受け取りました。

問題のリンクは、上のサイトにアクセスして下にスクロールすると、3 つの列が表示されるということです。問題は、「ハリケーン耐性の窓とドア」と書かれた最初の左の列から始まります。

画像/ヘッダー/「続きを読む」リンクにマウスを合わせると、それらはすべて seo に適したリンクを指し( prestigesolar.net/Hurricane-Resistant-Windows-Doors )ますが、クリックするとスパム サイトに移動します。

また、そのスパム サイトが読み込まれると、アドレス バーの URL は、ページが本来移動するはずだった SEO フレンドリーなリンクと同じように表示されます。

私は入ってリンクを見て、そのようにWordPressのようにハードコードされています

<a href="<?php bloginfo('url');?>/hurricane-resistant-windows-doors">

それでもスパムサイトにつながります。このように Google を指すように手動でリンクを変更し<a href="https://www.google.com/">ても、スパム サイトに移動しました。

閲覧するためだけに .htaccess にアクセスしましたが、通常のもの以外には何も表示されませんでした。(下記参照)

# BEGIN WordPress

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^index\.php$ - [L]

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>



# END WordPress

次に、WordPress 側のページ自体に移動し、HTML タブを調べましたが、何も表示されませんでした。テキストといくつかの通常の p タグなどだけです。

次に、ページと single.php ファイルをダウンロードしましたが、非常にシンプルです。それらには何もありません。フッター/ヘッダー/サイドバーファイルの単純なインクルード。

これらの 3 つ (フッター/ヘッダー/サイドバー) を検索しましたが、異常はありませんでした。

ちなみに、 WordPress バックエンド経由で手動でそのページに移動し、[ページを表示] ボタンをクリックすると、通常どおりページが開きます。次に別のページに移動し、戻るボタンを押してページに戻ると、通常どおり読み込まれます。URLをコピーして別のブラウザに貼り付けてアクセスすると、正常に読み込まれます。ハイジャックが行われているのは、ホームページからそのページへのクリックの間の遷移のみです。

私はそれを理解しようとしてしばらくこれに取り組んできましたが、アイデアがありません。誰かが私を正しい方向に向けることができますか??? ヘルプ、ヒント、何でもよろしくお願いします。

ありがとうございます。

4

1 に答える 1

2

そこには 2 つの異なるページ (2 つの異なる URL) があり、一方はこのスパム HTML で上書き (または作成) されており、実際にはprestigesolar.netサーバー上に存在しているようです (リダイレクトは関係ありません)。

問題のあるページは次のとおりです。

http://prestigesolar.net/hurricane-resistant-windows-doors

正しいページは次のとおりです。

http://prestigesolar.net/hurricane-resistant-windows-and-doors

違いはその-and部分です。

誰かがあなたのサーバー/サイトに不要なページを書き込んでしまった場合は、WordPress のログインと関連する可能性のあるその他のパスワードを変更し、問題のある追加のページを確実に削除することをお勧めします。

アップデート

残念ながら、特定のセットアップに関する詳細情報がないため、何が起こっているのかを言うのは少し難しいです。WordPress のバンドルされたバージョン (つまり、wordpress.com ではなくインストールされたバージョン) を使用していると仮定すると、攻撃者が実際に取得したように見えます。 FTP または SSH 経由でサーバーにアクセスした場合、WordPress 管理パネルを使用したときにこのスパム コンテンツが何も表示されない場合、この仮説が再確認されます。

ソースを見て、サーバーで次のファイルとディレクトリを検索する必要があります。

garca
click1.php 
click3.php

SSH アクセスがあり、サーバーが Linux フレーバーを実行していると仮定すると、次のコマンドを使用して Web ディレクトリ全体を検索できます。

find / -name "click1.php"

スラッシュを Webroot フォルダに置き換え、「引用」セクションを検索対象の「garca」に置き換えます。上記はうまくいけば何かを追跡するはずですが、そうでない場合は、攻撃者が.htaccess(既にチェックした) またはさらに心配な何かによってファイルをマスクしたことが原因である可能性がありますapache.conf

上記以外に、他に何を提案すればよいかわかりません。すべてのログインを変更してください。特定の Web ホストを使用している場合は、別の場所にインストールされたソフトウェアが原因でセキュリティ ホールが発生している可能性があるため、そのホストに知らせてください。この種のソフトウェアには新しいセキュリティ ホールが常に発見されているため、WordPress のバージョンもアップグレードする必要があります。

頑張ってください。

于 2013-03-29T23:58:46.027 に答える