我们在 Apache 服务器上运行的一个 Wordpress 网站最近被 PHP 注入(inject)攻击。
黑客安装了数百个重定向到销售 watch 的外部电子商务的 URL; URL 的格式为 http://www.example.com/eta.php?some_file.html
;例如:http://www.example.com/eta.php?Jewellery-Watches-Others-c138-4.html
。
我们认为我们已经删除了所有受感染的 PHP 代码。然而,被黑的 URL 现在没有返回 404,而是进行了 301 重定向到 http://www.example.com/?some_file.html
(也就是说,没有 的同一个 URL eta.php
部分),最后显示网站主页,返回代码 200。请注意,我的 .htaccess
文件似乎非常干净。
这个幻象重定向来自哪里?
如果有人能帮助我理解正在发生的事情,我将不胜感激。我担心我们没有完全消灭黑客。
感谢您的关注!
更多详情
文件 eta.php
在服务器上找不到。用被黑 URL 中的随机文件(例如 ate.php
)替换 eta.php
会产生预期的 404 代码。
最后,我设法使用以下 .htaccess 规则强制被黑的 URL 返回 404:
RewriteCond %{THE_REQUEST} /eta\.php
RewriteRule ^(.*)$ - [R=404,L,NC]
有趣的是,这条规则不起作用,就好像黑客以某种方式搞砸了 %{REQUEST_URI}
:
RewriteCond %{REQUEST_URI} ^/eta\.php [NC]
RewriteRule (.*) - [R=404,L]
最佳答案
一件好事是备份 MySQL 数据库并在记事本中打开。找到所有链接并删除。之后保存.sql文件并上传回来看。
还可以通过源代码查看在 HTML 文件中插入 javascript/iframe 的位置,并查找数据库中是否存在并删除。
同时重新安装wordpress安装,重新安装插件和模板(用新文件替换所有文件)。
这就是我保存许多网站的方式。
还可以执行@vard 在您的评论中写的内容。
关于php - 在被黑网站中隐藏重定向?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35508299/