Google 링크가 잘못된 페이지 열기

Question

Google 웹 사이트가 최근에 해킹되었습니다 (Joomla 1.5, VPS에서 호스팅 됨). 공격자는 일부 광고 사이트로 리디렉션하는 PHP 스크립트를 거의 추가하지 않았습니다. 우리는 모든 것을 깨끗하게했고 (적어도 우리는 그렇게했다고 생각합니다) 이제 모든 것이 제대로 작동합니다.

그러나 Google 웹 사이트를 가리키는 Google (또는 Yahoo)의 링크는 여전히 이러한 PHP 스크립트를 포함하려고 시도하고 있으며 (현재는 삭제됨에 따라 404를 반환합니다). 브라우저에서 직접 링크가 제대로 작동합니다.

10 일 전에 사이트를 정리 했으므로 Google 서버에 캐시 된 것이 없다고 생각합니다. 재 인덱싱은 지금까지 완료되어야합니다.

는이 동작을 재현하려면 :

유형 "anitex 양말"

클릭 "anitexsocks.com"

로 시작하는 PHP 링크에 www.google.com에

• 이동을하면 요청 된 URL /wp-includes/client.php가이 서버에서 발견되지 않았습니다. "+ 404 오류
• 새로 고침 페이지 및 모든 것이 문제없이 작동합니다.

Google 링크 만 문제가되는 이유는 무엇입니까? 도움이됩니다. 감사!

Answer 1

왜 이런 일이 일어나고 있는지 Firefox의 애드온을 설치하여 브라우저의 리퍼러 헤더를 차단 한 다음 Google 링크를 따라 사이트로 연결하면 정상적으로 작동합니다. 그런 다음 추가 기능을 비활성화하고 문제가 다시 발생하기 시작했습니다.

이것은 웹 사이트에서 실행중인 일부 악성 코드가 아직 모든 HTTP 요청을 검사하여 (HTTP 리퍼러 헤더 확인을 기반으로) Google에서 온 것인지 확인하고/wp-includes/client로 리디렉션하고 있음을 보여줍니다. 이 경우, PHP는

이 코드가 어디에 놓일 지 결정하기 위해 www 구성 파일뿐만 아니라 서버의 모든 www 파일을 통해 재귀 grep을 실행 해보십시오. 거기에는 여전히 참조가 있어야합니다. 그 client.php 스크립트, 잘하면 당신이 그것을 찾아 제거 할 수 있습니다.

내 사이트의 경우 해커가 원하는대로 무엇이든지 할 수 있도록 내 서버에 대한 통치권을 가지고 있음을 알고 있었지만 손상을 취소하려고 할 때 주위를 어지럽히 지 않고 가장 최근의 사이트가 해킹되기 전에 백업. 해커가 제자리에 둔 백도어 하나만 놓치면 사이트에 다시 들어올 수 있습니다. 백업을 복원 한 후에는 처음에 액세스하는 데 사용한 소프트웨어를 업그레이드/재구성하여 동일한 방식으로 다시 해킹 할 수 없도록해야합니다.