这行在这个 .htaccess 文件中做了什么，这个文件中的其他行看起来安全吗？

Question

我们的网站最近被黑了，提供的文件如下所示：

www.example.com/some-spam-name

这些路径正在重定向到一些垃圾邮件附属页面。 有成千上万。

我已经开始调查了，我首先检查的是.htaccess文件：

看起来像这样：

RewriteEngine on
RewriteCond %{HTTP_HOST} ^example\.com$ [OR]
RewriteCond %{HTTP_HOST} ^www\.example\.com$
RewriteRule ^secraksj$ "https\:\/\/example\.karansv\.com\/a\/3845\/RFcFd3FM" [R=301,L]


RewriteOptions inherit

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

最明显的一点是：

  RewriteRule ^secraksj$ "https\:\/\/example\.karansv\.com\/a\/3845\/RFcFd3FM" [R=301,L]

有人可以解释这是在做什么吗，我可以看到正则表达式，^secraksj$，但不太了解这种重写是如何操作的。

如果我从.htaccess 文件中删除有问题的行，您认为文件的其余部分看起来相当标准吗？我试图一步一步来，现在我正在尝试修复.htaccess 文件。

我想知道我是否删除了这一行，您是否可以在 .htaccess 文件中看到攻击者可能用来利用该站点的任何其他内容。

我发现了这个： My site was hacked, htaccess file compromised, what should it look like?

但是这个RewriteRule的语法不同。

Answer 1

RewriteRule ^secraksj$ "https\:\/\/exampledomain\.karansv\.com\/a\/3845\/RFcFd3FM" [R=301,L]

这会将example.com/secraksj 的请求重定向到https://example.karansv.com/a/3845/RFcFd3FM。

虽然^secraksj$ 是“正则表达式”，但它只匹配文字字符串“secraksj”。

前面的RewriteCond 指令只是确保仅在访问example.com 主机（并且没有其他停放/插件域）时发生重定向。

你认为文件的其余部分看起来相当标准吗？

是的，RewriteOptions inherit 指令除外。这可能没问题，但你特别需要这个吗？这继承 mod_rewrite 来自任何父配置文件的指令。

.htaccess 文件的其余部分是标准 (WordPress) 前端控制器模式。

但是这个RewriteRule的语法不同。

链接问题中的指令实际上无效，因此我不会将这些指令用作参考。