网站被重定向到伟哥商店;所有常见的嫌疑人都没有出现

信息安全 网址重定向
2021-08-15 14:19:29

我有一个客户的网站 ( http://changewise.biz ) 被重定向到伟哥商店 (mywifeishappy.com)。我们已经检查了所有常见的嫌疑人,但找不到导致重定向的罪魁祸首:

  • 首先我们检查了所有的 .htaccess 文件;都干净。
  • 检查 robots.txt; 再次,什么都没有。
  • 检查所有 522 个 PHP 文件中的恶意代码(这是一个在 RackSpace 上运行的 WordPress 站点);我们确实在网站base64decodewp-options表格中找到了一行代码,其中包含一些代码76个这样的实例,所有这些都被删除了,仍然没有快乐。
  • 去谷歌网站管理员让谷歌重新索引该站点,以防它持有有关该站点的错误索引数据;可能还要等一下。

奇怪的是,当我在浏览器 ( http://changewise.biz ) 中通过其直接 URL 访问该站点时,我发现它很好。当客户在他的浏览器中执行此操作时,该站点最终会出现在 Viagra。而且 - 当我们俩都用谷歌“changewise”并点击谷歌在其 SERP 中返回的链接时,该网站被重定向到伟哥商店。

有人对此有任何想法吗?我已经与 RackSpace 技术支持人员交谈过,他们无法提供任何想法;他们在托管设置中看不到任何其他漏洞。客户非常沮丧,我也是。

4个回答

我注意到,从 Google 搜索中,如果我将引荐来源 (www.google.com) 从对 changewise.biz 的 Web 请求中取出,它不会重定向到垃圾邮件站点。

如果我不删除引用者,我会得到垃圾邮件站点(并且后续请求总是会得到它,因为它会被缓存在浏览器中)。

所以我认为这不是旧的 Google 数据有问题,而是您网站中的某些内容查看了引荐来源。

当从 google.com 引用时,您的网站提供以下 http 响应:

HTTP/1.1 301 Moved Permanently
Server: Apache/2.2
Content-Type: text/html; charset=iso-8859-1
Date: Fri, 25 Apr 2014 14:10:26 GMT
Location: http://mywifeishappy.com/
Connection: Keep-Alive
Content-Length: 305

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://mywifeishappy.com/">here</a>.</p>
<hr>
<address>Apache/2.2 Server at www.changewise.biz Port 80</address>
</body></html>

我建议您的 apache 进程本身是后门的,因为即使使用 google\ 之类的东西也可以访问不存在的页面。在referer中被重定向。比如喜欢

GET /this-page-does-not-exist/ HTTP/1.0
Host: www.changewise.biz
Referer: foobargoogle.

只需在谷歌上搜索“apache backdoor redirect referer”——你会发现足够多的类似问题的报告。最好的反应是立即关闭服务器(以防止客户被感染,从而保护您的声誉)并从已知不受后门影响的来源重新安装它。

几个月前我也有类似的事情。原来有问题的代码是隐藏在上传文件夹中的 jpg 文件中的 php。

浏览您的上传文件(包括点隐藏文件)并file在每个文件上运行。确保羊都是羊,而不是藏狼。

关闭 javascript,看看你是否仍然被重定向:

1)如果您仍然被重定向,那么问题出在服务器端代码中,并且正在生成重定向(可能是永久的并由您的客户端浏览器存储)。

2)如果您没有被重定向,那么问题出在返回的 javascript 中 - 可能检查浏览器中的 javascript 缓存并确保清理该站点。

其它你可能感兴趣的问题
上一篇我刚刚在我的网上商店中发现了重大的安全漏洞? 下一篇我应该记录用户更改了密码吗?