首先,这里是主网站 http://prestigesolar.net/
我刚刚收到一封电子邮件,说">嘿,这个链接要去其他地方,它不应该这样做,请将其更改为正确的页面链接">
有问题的链接是,如果您访问上面的网站并向下滚动,您将看到 3 列。问题从左第一列开始,上面写着" 抗飓风门窗 ">
当您将鼠标悬停在图像/标题/"阅读更多">链接上时,它们都指向 seo 友好链接,例如( prestigesolar.net/Hurricane-Resistant-Windows-Doors )
等。但是当您单击它时,它会转到某个垃圾邮件站点。
此外,当该垃圾邮件网站加载时,地址栏上的 URL 与页面最初应该去的 SEO 友好链接相同。
我进去查看链接及其以WordPress方式硬编码,如下所示
<a href="<?php bloginfo('url');?>/hurricane-resistant-windows-doors">
并且仍然导致垃圾邮件网站。当我像这样手动更改链接以指向谷歌时<a href="https://www.google.com/">
它仍然转到垃圾邮件网站。
我去.htaccess只是为了仔细阅读,除了正常之外什么也没看到。(见下文(
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index'.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
然后我进入WordPress方面的页面本身,查看HTML选项卡,什么都没有。 只是文本和一些普通的 p 标签等。
然后我下载了页面和单个.php文件,它们非常简单。 里面什么都没有。页脚/页眉/侧边栏文件的简单包含。
我搜索了这 3 个(页脚/页眉/侧边栏(,没有任何异常。
附带说明一下,当我通过WordPress后端手动转到该页面并单击"查看页面"按钮时,页面会像往常一样打开。如果我随后导航到另一个页面并点击后退按钮导航回该页面,它也会像往常一样加载。如果我复制 url 并在另一个浏览器中粘贴并访问它,它会正常加载。只有在从主页单击到该页面之间的过渡中,劫持才会发生。
我在这方面呆了一段时间,试图弄清楚,但我没有想法。有人可以指出我正确的方向吗???任何帮助,提示,我谦虚地感谢。
提前谢谢。
看起来您那里有两个不同的页面(两个不同的 URL(,其中一个已被此垃圾邮件 HTML 覆盖(或创建(,并且实际上存在于prestigesolar.net
服务器上(因此不涉及重定向(。
错误的页面位于:
http://prestigesolar.net/hurricane-resistant-windows-doors
其中-正确的页面位于:
http://prestigesolar.net/hurricane-resistant-windows-and-doors
区别在于-and
部分。
如果有人试图将不需要的页面写入您的服务器/站点,那么更改您的wordpress登录和可能涉及的任何其他密码可能是个好主意,并确保删除有问题的其他页面。
更新
不幸的是,如果没有有关您的特定设置的更多信息,很难说发生了什么,假设您使用的是 WordPress 的捆绑版本(即安装的版本不是 wordpress.com(,似乎攻击者实际上已经通过 FTP 或 SSH 获得了对您的服务器的访问权限,如果您在使用 WordPress 管理面板时看不到这些垃圾邮件内容,则重申了这一假设。
通过查看源,您需要在服务器中搜索以下文件和目录:
garca
click1.php
click3.php
假设您具有SSH访问权限并且您的服务器正在运行Linux风格,则可以使用以下命令搜索整个Web目录:
find / -name "click1.php"
将斜杠替换为您的webroot文件夹,以及您要搜索的内容的"引用"部分,即"garca"。以上希望应该跟踪某些内容,如果没有,可能是因为攻击者通过.htaccess
(您已经检查过(或更令人担忧的东西(即修改您的apache.conf
(掩盖了文件。
除了上述内容之外,我不知道还有什么建议,更改所有登录,如果您使用的是特定的网络主机,可能会让他们知道,因为安全漏洞可能是由于他们在其他地方安装的软件造成的。您可能还应该升级WordPress版本,因为在此类软件中一直发现新的安全漏洞。
祝你好运。