作者 主題: 好像被掛馬了  (閱讀 5084 次)

0 會員 與 1 訪客 正在閱讀本文。

redjack

  • 活潑的大學生
  • ***
  • 文章數: 426
    • 檢視個人資料
好像被掛馬了
« 於: 2012-04-25 10:59 »
請教一下:

小弟公司的網站昨天發現開啟時,會被重新導向到一個俄國網站去,然後再導到google.
抓包看到的內容如下:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://container-feat.ru/flayer?12">here</a>.</p>
<hr><address>Apache/2.2.4 (Win32) PHP/5.2.1 Server at www.fortunemed.com Port 80</address>
</body></html>


為了先求正常運作,所以我先備借網站與資料庫後,直接復原3月的備份
但是在開啟站台時仍然會被導向到該網址去,其中AppServ 已經重啟了。
想請教一下該怎麼排除這個狀況,或是我該從那邊去著手呢?

目前除了復原外(無效) 我這邊已經用Grendel-Scan 去掃描,並請設計師以報告結果去修改潛在的XSS 風險。

站台是Win2003 + AppServ2.5.8 + Joomla 1.5.12
Knowledge is Power

hikohan

  • 俺是博士!
  • *****
  • 文章數: 1288
    • 檢視個人資料
Re: 好像被掛馬了
« 回覆 #1 於: 2012-04-25 11:33 »
php有漏洞吧,這種掛馬大概是append在程式尾巴呼叫js,建議要

* 更新php、CMS patch,Security check.
* 確認 php.ini 的安全設定

至於已經被改寫的,要慢慢抓,或者從備份還原。
lifeIsFunWithPHP.

redjack

  • 活潑的大學生
  • ***
  • 文章數: 426
    • 檢視個人資料
Re: 好像被掛馬了
« 回覆 #2 於: 2012-04-25 11:45 »
剛剛確認後的結果。
應該是Server 被值入東西了,會自動生成並更新.htaccess
再去導向該站台。

php, patch 的部份正在和設計師商確要修改的部份。
server 端下午來掃描其他漏洞。
現在正要檢查server 上運行了那些壞東西。

謝謝hikohan 前輩的協助 ^^
Knowledge is Power