我们在Apache服务器上运行的一个Wordpress网站最近被
PHP注入攻击.

黑客安装了数百个重定向到销售手表的外部电子商务的URL;网址格式为http://www.example.com/eta.php?some_file.html;例如：http：//www.example.com/eta.php？Jewellery-Watches-Others-c138-4.html.

我们认为我们删除了所有受感染的PHP代码.但是,被黑客入侵的网址,而不是返回404,现在执行301重定向到http://www.example.com/?some_file.html(即没有eta.php部分的相同网址),最后显示网站主页,返回代码200.请注意我的.htaccess文件似乎非常干净.

这个幻像重定向来自哪里？

我会非常感谢任何可以帮助我理解正在发生的事情的人.我担心我们没有彻底消灭黑客.

感谢您的关注！

更多详情

文件eta.php无处可在服务器上找到.用被盗黑的URL中的随机文件(例如ate.php)替换eta.php会产生预期的404代码.

最后,我设法使用以下.htaccess规则强制被黑网址返回404：

RewriteCond %{THE_REQUEST} /eta\.php
RewriteRule ^(.*)$- [R=404,L,NC]

有趣的是,这个其他规则不起作用,好像黑客在某种程度上弄乱了％{REQUEST_URI}：

RewriteCond %{REQUEST_URI} ^/eta\.php [NC]
RewriteRule (.*) - [R=404,L]

最佳答案 一个好处是你备份MySQL数据库并在记事本中打开.查找所有链接并删除.之后保存.sql文件并上传回去查看.

还可以通过源代码查看HTML文件中的javascript / iframe插入位置,并查找是否存在于数据库中并删除.

还要重新安装wordpress instalation,重新安装插件和模板(用新文件替换所有文件).

这就是我如何保存许多网站的方式.

也可以做@vard在你评论中写的东西.