Php 黑客网站中隐藏的重定向?
我们的一个运行在Apache服务器上的Wordpress网站最近被PHP注入攻击 黑客们安装了数百个URL,这些URL被重定向到一个销售手表的外部电子商务;URL的格式为Php 黑客网站中隐藏的重定向?,php,wordpress,.htaccess,redirect,mod-rewrite,Php,Wordpress,.htaccess,Redirect,Mod Rewrite,我们的一个运行在Apache服务器上的Wordpress网站最近被PHP注入攻击 黑客们安装了数百个URL,这些URL被重定向到一个销售手表的外部电子商务;URL的格式为http://www.example.com/eta.php?some_file.html;例如:http://www.example.com/eta.php?Jewellery-watchs-Others-c138-4.html 我们认为我们已经删除了所有受感染的PHP代码。然而,被黑客攻击的URL现在不是返回404,而是执行
http://www.example.com/eta.php?some_file.htmlhttp://www.example.com/eta.php?Jewellery-watchs-Others-c138-4.htmlhttp://www.example.com/?some_file.htmleta.php.htaccesseta.phpate.phpeta.phpRewriteCond %{THE_REQUEST} /eta\.php
RewriteRule ^(.*)$ - [R=404,L,NC]
%{REQUEST_URI}RewriteCond %{REQUEST_URI} ^/eta\.php [NC]
RewriteRule (.*) - [R=404,L]
一件好事是备份MySQL数据库并在记事本中打开。查找所有链接并删除。之后保存.sql文件并上传回查看 还可以通过源代码查看HTML文件中插入javascript/iframe的位置,并查找数据库中是否存在javascript/iframe,然后删除 同时重新安装wordpress安装,重新安装插件和模板(用新文件替换所有文件) 这就是我保存许多站点的方式
也可以做@vard在您的评论中写的事情。从orbit中删除服务器,从头开始重新安装,这次加强安全性,从已知良好的备份中恢复(我希望您有一些)。通常,试图清理一些东西没有什么意义;据你所知,你的服务器已经安装了根目录,无论你做什么,它都会不断恢复到“黑客状态”。你可能在某个地方隐藏了一些恶意代码,添加了这个重写规则。检查的几个步骤:1。查看您的WP安装文件的修改时间,并查看最近是否更新了任何文件。2.搜索任何添加\重写\规则引用,查看是否有可疑的引用。3.寻找任何base64_解码参考(黑客可以使用base64字符串隐藏恶意代码)被黑客攻击的网站问题都是离题的,所以;再见,谢谢你@vard!按照您的建议,我在数据库中找到了三个负责重定向的条目:
\u redirect\u rule\u from:/eta.php*\u redirect\u rule\u to://\u redirect\u rule\u status\u code:301\uuuuuuuredirect\u rule