主題: 好像被掛馬了

[redjack]

請教一下：

小弟公司的網站昨天發現開啟時，會被重新導向到一個俄國網站去，然後再導到google.
抓包看到的內容如下：
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://container-feat.ru/flayer?12">here</a>.</p>
<hr><address>Apache/2.2.4 (Win32) PHP/5.2.1 Server at www.fortunemed.com Port 80</address>
</body></html>

為了先求正常運作，所以我先備借網站與資料庫後，直接復原3月的備份
但是在開啟站台時仍然會被導向到該網址去，其中AppServ 已經重啟了。
想請教一下該怎麼排除這個狀況，或是我該從那邊去著手呢？

目前除了復原外(無效) 我這邊已經用Grendel-Scan 去掃描，並請設計師以報告結果去修改潛在的XSS 風險。

站台是Win2003 + AppServ2.5.8 + Joomla 1.5.12

[hikohan]

php有漏洞吧，這種掛馬大概是append在程式尾巴呼叫js，建議要

* 更新php、CMS patch，Security check.
* 確認 php.ini 的安全設定

至於已經被改寫的，要慢慢抓，或者從備份還原。

[redjack]

剛剛確認後的結果。
應該是Server 被值入東西了，會自動生成並更新.htaccess
再去導向該站台。

php, patch 的部份正在和設計師商確要修改的部份。
server 端下午來掃描其他漏洞。
現在正要檢查server 上運行了那些壞東西。

謝謝hikohan 前輩的協助 ^^