今天早上我收到了来自Google (noreply@gooogle.com)的通知,我的几个共享Linux主机经销商帐户上有钓鱼链接。它们都是同一个经销商账户上的不同托管域名。这些链接有一些共同之处,所以很可能是同一个黑客放置的。所有可疑链接都是这样的:
example.com/~cp/request/linkd/index.php?userid=aname%40domain.com
我联系了主机公司关于他们服务器上可能存在的漏洞,但我想知道这些链接是否可能被放置在我的帐户上,因为我的一个管理密码被泄露了。我也想知道我在哪里可以找到这些链接,并删除他们自己。我不确定在哪里可以找到/~cp/request/linkd/ Linux目录。这与cpanel目录有关吗?我在我的文件系统中搜索index.php没有找到任何可疑的文件或目录。
同时,一些网站运行WordPress,但都是最新的和加固的安装,一些网站是基本的html5网站(没有WordPress)。
我认为cp用户是在您的服务器上创建的,这是受感染的用户。我可以看到mod_userdir在您的服务器上是启用的,这就是他们能够访问受感染的URL与您的域名(example.com/~cp URL)的原因,所以请联系您的主机提供商,并要求他们禁用mod_userdir并再次检查该URL。
这应该由您的托管公司解决。似乎你的主机服务器没有正确配置,它允许使用临时URL访问任何帐户,使用服务器上托管的任何域。这是不推荐的设置,因为如果你的一个帐户被泄露,谷歌可能会认为所有域名都有可疑代码。
您应该立即联系您的主机来解决这个问题。他们将不得不调整Apache mod_userdir设置来防止此类问题。