我们的网站最近遭到黑客攻击(Joomla 1.5,托管在VPS上)。攻击者添加了一些重定向到某些广告网站的PHP脚本。我们已经清理了所有东西(或者至少我们认为我们已经完成了),现在一切正常。
然而,指向我们网站的谷歌(或雅虎)上的链接仍然试图包含这些PHP脚本(并返回404,因为这些已被删除)。浏览器的直接链接可以正常工作。
我们已在10天前清理了网站,因此我认为Google服务器上没有缓存某些内容。现在应该重新编制索引。
要重现此行为:
为什么只有Google链接会造成麻烦? 欢迎任何帮助。谢谢!
答案 0 :(得分:3)
至于发生这种情况的原因,我安装了一个firefox附加组件,它阻止了我的浏览器的Referrer Header,然后跟着谷歌链接到你的网站,它工作正常。然后我禁用了加载项,问题再次开始。
这表明您的网站上仍然存在一些恶意代码正在检查所有http请求,以查看它们是否来自Google(基于检查HTTP Referrer标头)并将其重定向到/wp-includes/client.php如果他们这样做,
要尝试确定此代码可能位于何处,请尝试通过服务器上的所有www文件以及www配置文件执行递归grep,其中某处仍必须引用该client.php脚本,希望你能找到并消除它。
那就是说,如果它是我的网站,我知道一个黑客已经通过我的服务器自由统治他们想做的任何事情,我不会乱用尝试撤消损害,而是恢复最近的备份从网站被黑客入侵之前。您只需要错过黑客留在原地的一个后门,他们就可以重新进入您的网站。恢复备份后,您还应该首先升级/重新配置他们用来获取访问权限的软件,这样他们就不能再以相同的方式重新进行备份。