我们在Apache服务器上运行的一个Wordpress网站最近被PHP注入攻击。
黑客安装了数百个重定向到销售手表的外部电子商务的网址;网址格式为http://www.example.com/eta.php?some_file.html;例如:http://www.example.com/eta.php?Jewellery-Watches-Others-c138-4.html。
我们认为已删除所有受感染的PHP代码。但是,被黑网址而不是返回404,现在执行301重定向到http://www.example.com/?some_file.html(即没有eta.php部分的相同网址),最后显示网站主页,返回代码200。请注意,我的.htaccess文件似乎非常干净。
这个幻像重定向来自哪里?
我会非常感谢任何可以帮助我理解正在发生的事情的人。我担心我们没有彻底消灭黑客。
感谢您的关注!
更多细节
在服务器上找不到文件eta.php。在被黑网址中用随机文件(例如eta.php)替换ate.php会产生预期的404代码。
最后,我设法使用以下.htaccess规则强制被黑网址返回404:
RewriteCond %{THE_REQUEST} /eta\.php
RewriteRule ^(.*)$ - [R=404,L,NC]
有趣的是,这个其他规则不起作用,好像黑客在某种程度上弄乱了%{REQUEST_URI}:
RewriteCond %{REQUEST_URI} ^/eta\.php [NC]
RewriteRule (.*) - [R=404,L]
答案 0 :(得分:1)
一件好事是你备份MySQL数据库并在记事本中打开。查找所有链接并删除。之后保存.sql文件并上传回来查看。
还可以通过源代码查看HTML文件中的javascript / iframe插入位置,并查找是否存在于数据库中并删除。
同时重新安装wordpress instalation,重新安装插件和模板(用新文件替换所有文件)。
这就是我保存很多网站的方式。
也可以做@vard在你评论中写的内容。