Site do Expression Engine hackeado - Localize o redirecionamento [duplicado]

Navegue suas respostas
1

Eu tenho um site do Expression Engine que tento limpar. O banco de dados recebeu muitos novos usuários, então parece que o banco de dados foi hackeado / links adicionados. Uma questão importante é que o site, quando clicado no Google, está sendo ignorado. Todos os visitantes estão sendo redirecionados para outro site. Aqui está a pesquisa: link . O primeiro site é o que está em questão. O site para o qual eles são redirecionados é o link que tenho tentado encontre este redirecionamento em todos os arquivos e no banco de dados, mas não tive sorte. Não é um redirecionamento de .htaccess que eu verifiquei e confirmei. Mas eu não consegui localizar um redirecionamento JScript ou PHP nos arquivos nem no banco de dados ainda .. Provavelmente bem oculto por causa de uma base64 ou criptografia compactada. Idéias?

NB não há versão limpa do banco de dados disponível

    
por rhand 20.11.2011 / 11:19

2 respostas

1

Ele apenas redireciona as pessoas com um referenciador do Google (possivelmente também outros mecanismos de pesquisa). Se eu tirar a parte de referência do curl, recupero uma página normal. 

curl -e "http://www.google.co.uk/search?q=new+wine+ireland" --include http://www.newwineireland.org/
HTTP/1.1 302 Found
Date: Sun, 20 Nov 2011 11:44:17 GMT
Server: Apache
Location: http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555
Vary: Accept-Encoding
Content-Length: 239
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555">here</a>.</p>
</body></html>

O conteúdo da resposta (após os cabeçalhos) sugere que este é um redirecionamento gerado pelo Apache e não um gerado pelo PHP. A maioria das pessoas não pensa em enviar um corpo ao usar a função header () do PHP para redirecionamentos e esse texto corresponde exatamente com o que um corpo gerado pelo Apache teria.

Para mim, isso significa que não é um arquivo PHP e não é um javascript ou meta redirect armazenado em seu banco de dados.

Com base nisso, sugiro procurar em arquivos de configuração do Apache. Tudo no / etc / apache (ou / etc / httpd deoending na sua distro) precisa ser verificado. Não precisa ser um RewriteRule ou mesmo um Redirect. Pode ser uma diretiva de Inclusão extra que carrega o redirecionamento de outro arquivo em outro lugar. Pode até ser uma diretiva que altera o que os arquivos .htaccess são chamados.

Um comando que pode ajudá-lo a encontrar é grep -r "sweepstakesandcontestsinfo" /etc/apache .

Você não mencionou como você verificou que não é um redirecionamento de .htaccess. O .htaccess é a opção mais provável, pois geralmente não requer privilégios especiais para escrever um deles dentro da raiz do documento.

Se ainda não o fez, execute isto: find /var/www -name .htaccess , mas altere "/ var / www" para a raiz do seu documento.

Se isso não encontrar nada, tente o mesmo comando, mas com / como o primeiro argumento. Obviamente, você terá que verificar todas as linhas em todos os arquivos .htaccess encontrados.

Se você achar que alguns dos seus arquivos de configuração do Apache são alterados, este atacante tem acesso root em sua caixa. A melhor resposta nesse momento é colocá-lo offline e iniciar uma limpeza adequada. Há muitas perguntas aqui e segurança.SE sobre como se recuperar de um compromisso depois de esclarecer o problema imediato (que é o redirecionamento).

    
por 20.11.2011 / 12:51
1

Experimentar o link algumas vezes mostra que o resultado do Google vai para o site "errado", mas ir direto para a URL (www.newwineireland.org) não resulta em um redirecionamento.

Talvez você tenha um envenenamento de pesquisa do Google, em vez de um problema no site?

    
por 20.11.2011 / 12:50

Tags

Como monitorar servidores em redes diferentes usando o munin? Criando imagens do Hyper-V para o SharePoint 2010