【发布时间】:2016-11-19 04:30:18
【问题描述】:
假设我有一个主域,以及 Cpanel 共享主机上的几个附加域,每个附加域都有自己的子域,例如 sub-domain.primary-domain.com。附加域都是真实站点和公共域,主域只是托管帐户,http://primary-domain.com实际上只是一个带有徽标的页面。
前几天发生了一件坏事,primary-domain.com 被 Chrome 和 Firefox 屏蔽:前面的欺骗性网站!
好处是:目前所有附加域都很好。
在 Google webmastertools 下,出现如下警告:
这些页面试图诱使用户做一些危险的事情,例如安装不需要的软件或泄露个人信息。
示例网址(有害内容警告):
one-of-sub-domain.primary_domain.com/login.php/magmi/web/download_file.php
我不知道./login.php/magmi/web/download_file.php 做了什么以及它是怎么做的,我确实有一个文件/login.php,但我无法通过整个服务器找到magmi/web/download_file.php,但是我确实看到它出现在我的访问者日志中来自印度的 IP。就算是隐藏在某处,但如何在/login.php/后面执行呢?
有趣的是,上面的子域附带的附加域没有被列入黑名单,但它们使用的是完全相同的目录。
我要求我的主机扫描整个根目录,结果显示干净,没有发现目标 URL 和 0 个恶意软件攻击,主机检查了我在 McAfee 上的 primary_domain.com,结果绿色,风险最小,与谷歌和雅虎的比率相同。我用好久的版本恢复了整个目录,并要求谷歌审查。结果很快就回来了,还是一样,没什么变化。
我不太担心主域,因为它实际上不是一个站点,但我想相关的附加域不会被屏蔽太久。
对这个黑客有什么想法吗?我确实看到了一些关于magmi/web/download_file.php 的搜索结果,但我没有这方面的经验。黑客是否有可能更改了服务器上触发某些重定向的某些指令?感谢所有帮助。谢谢。
【问题讨论】: