恶意软件感染类型:服务器配置

如果 Search Console 中有“服务器配置”这种恶意软件感染类型的网址,这表示什么?

这表示黑客已入侵了您的网站,并将访问者从您的正常网站重定向到黑客的恶意软件攻击性网站。黑客使用的方法可能是修改您服务器的配置文件。网站管理员通常可以通过服务器配置文件为网站上的特定网页或目录指定网址重定向。例如,在 Apache 服务器上,配置文件为 .htaccess 文件以及 httpd.conf。

要了解关于遭到入侵而传播恶意软件的网站的更多常规信息,请参阅评估受破坏程度(遭恶意软件入侵)

如何确认“服务器配置”恶意软件类型的重定向行为?

首先,避免使用浏览器来查看您网站上受感染的网页。恶意软件通常会利用浏览器漏洞进行传播,因此在浏览器中打开感染恶意软件的网页可能会损坏您的计算机。

不妨考虑通过使用 cURLWget 发起 HTTP 请求(例如,抓取网页)来确认相关行为。这些免费提供的工具有助于诊断重定向行为,而且您还可以灵活地在其中加入引荐来源网址或用户代理信息。通过只向使用特定用户代理或来自特定引荐来源网址的用户提供恶意内容,黑客可以将更多“真实用户”作为目标,并可以更好地避开网站所有者和恶意软件扫描程序的检测(您的网站必须处于在线状态,才能使用这些工具)。例如:

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" </your-infected-url>
例如
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
这样一来,如果抓取的网页存在“服务器配置”类型的感染,就可能会返回以下标头:
...
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<malware-attack-site>/index.html
< Content-Length: 253
...

 

如何清理属于“服务器配置”恶意软件类型的网站?

您可以通过 shell/终端访问权限登录您的服务器(如果需要,您可以使网站处于离线状态),然后查看相关的服务器配置文件。您的网站上可能存在多个被黑客篡改的服务器配置文件。请检查这些文件是否存在垃圾指令(如重定向),黑客可以通过垃圾指令对您的网站进行配置,从而将访问者重定向到未知的恶意软件攻击性网站。例如,在 .htaccess 中:

RewriteEngine On 
RewriteCond %{HTTP_REFERER} .*google.* 
RewriteRule ^third-page.html($|/) http://<malware-site>/index.html [R=301]
此外:
  • 请务必检查整个文件,以免黑客将其代码添加到很容易被忽略的文件末尾处。
  • 仔细查看是否存在 cron 任务,黑客创建此类任务是为了持续更新 .htaccess 文件。Cron 任务可以列在多个位置,包括 /etc/crontab(还有许多 /etc/cron* 目录)和 /var/spool/cron

清理网站的准备工作就绪后,您可以将服务器配置文件替换为已知正常的备份文件,也可以删除现有文件中不需要的代码。如果启用新的配置文件需要重启您的网络服务器,请务必执行此操作。

清理“服务器配置”类型的恶意软件虽然有助于恢复被黑网站,但并不能修复使黑客得以最初能入侵您网站的潜在漏洞(他们可能会再次利用这些漏洞入侵您的网站)。要详细了解如何清理整个网站,请参阅被黑网站恢复文档中的遭到恶意软件入侵这一主题。

本文是否对您有帮助?
您有什么改进建议?