我們的網站已經被黑客入侵最近(的Joomla 1.5,託管在VPS)。攻擊者添加了幾個重新定向到某些廣告網站的php腳本。我們已經清理了所有的東西(或者至少我們認爲我們已經這樣做了),現在一切正常。谷歌鏈接打開錯誤頁面
然而,在被指向我們的網站谷歌(或Yahoo)鏈接仍在試圖包括這些PHP腳本(和這些現在刪除,則返回404)。來自瀏覽器的直接鏈接按其應有的方式工作
我們已經清理場地10天前,所以我不覺得這事是在谷歌的服務器緩存。現在應該重新編制索引。
要重現此問題:
爲什麼只有谷歌的鏈接使煩惱? 歡迎任何幫助。謝謝!
至於爲什麼發生這種情況的原因,我安裝了一個Firefox插件阻斷我的瀏覽器的網址標頭,然後跟着谷歌鏈接到你的網站,它工作得很好。然後我禁用了附加組件,問題又一次開始發生。
這表明您的網站上仍有一些惡意代碼正在運行,它檢查所有http請求以查看它們是否來自Google(基於檢查HTTP Referrer標頭)並將它們重定向到/ wp-includes/client。 php如果他們這樣做,
要嘗試確定此代碼可能位於哪裏,請嘗試通過您的服務器上的所有www文件以及您的www配置文件執行遞歸grep,在那裏的某處仍必須有對該client.php腳本,希望你能找到並消除它。這就是說,如果它是我的網站,並且我知道一個黑客已經對我的服務器進行了自由統治,以便做他們想做的任何事情,我不會在嘗試撤消這個破壞並且會恢復最近的時間從網站遭到黑客入侵之前進行備份。您只需要錯過黑客留下的一個後門,他們可以重新進入您的網站。在恢復備份之後,您還應該升級/重新配置他們用來訪問的軟件,以便他們不會再以相同的方式重新打開它。
我認爲bdk說的是一個非常好的主意。我還建議更新到最新版本的Joomla 1.5(或更好的2.5),卸載你沒有使用的任何擴展,並升級其餘的。另外請考慮安裝像這樣的http://extensions.joomla.org/search?q=jsecure來隱藏您的管理員頁面。 – TryHarder 2012-04-10 14:05:36
謝謝bdk! .htaccess文件正在製造麻煩! – 2012-04-10 17:17:36
你確定你沒有刪除的文件太多? – Roger 2012-04-10 07:51:26
在相關說明中,請注意,Joomla 1.5本月不再支持安全更新,無法繼續升級http://developer.joomla.org/security.html。 – Cheekysoft 2012-04-10 12:26:49
謝謝Cheekysoft。由於問題是由修改後的.htaccess文件引起的,有沒有辦法讓攻擊者通過一些Joomla相關的弱點獲得FTP或其他類型的Web服務器上的文件訪問? – 2012-04-10 17:25:44