病毒/恶意软件修改Joomla CMS网站上的.htaccess

Question

我有一个运行在共享主机上的Joomla 1.0网站，我没有shell访问权限（只有FTP可用）。最近，我的网站被Google标记为恶意软件网站，并且我通知该.htaccess文件被恶意内容修改。这些规则重定向到一个名为 'depositpeter.ru' 被添加到的.htaccess网站：

的ErrorDocument 400 http://depositpeter.ru/mnp/index.php
的ErrorDocument 401 http://depositpeter.ru/mnp/index.php ...

如果我清理这个.htaccess文件，这将是几分钟后修改为恶意内容。

我怀疑有一些后门PHP和JavaScript已注入我们的代码库，它不断修改.htaccess文件。但是我不知道这些恶意软件如何首先出现在我的网站上。我很确定没有FTP用户将这些文件上传到我的网站。病毒扫描发现有用户上传的图像被注入PHP.ShellExec恶意软件（我不确定PHP.ShellExec是如何工作的，以及它是否与.htaccess病毒有关）。

我的问题是我应该如何开始故障排除和清理这个恶意软件？我非常无能，并且在处理网络恶意软件方面经验不足。任何帮助非常感谢！

Answer 1

你可能无法自己解决这个问题。但是这里有一些你应该做的事情。

• 下载您拥有的任何apache/php日志 - 这些可以指向被利用的安全漏洞。如果您能找到条目，请确保覆盖这些孔。
• 删除指示为感染的图像。
• 联系您的主机 - 几家托管公司有自动化解决方案来查找和清除常见漏洞。另外，如果您的网站受到感染，则赔率是，同一台服务器上的其他客户端也是如此。
  • 相反，它可能是另一台客户端在同一台服务器上，导致您的这个问题。

• 在上传目录中添加一个.htaccess文件，该文件将阻止访问上传图像以外的任何内容。它可能是这个样子：

  Order deny,allow
Deny from all
<FilesMatch "\.(jpe?g|bmp|png)$">
Allow from all
</FilesMatch>

• 如果你的主机没有阻挡功能，让PHP调用系统命令（你会惊奇地发现），你知道该怎么做，你可以模仿壳使用system,exec,popen和一些其他功能访问自定义的PHP脚本。我使用我自己制作的脚本：https://github.com/DCoderLT/Misc_Tools/blob/master/sh/sh.php。这是相当原始的，但是当我需要时完成工作。

未来的考虑：

• 创建备份。您的托管公司可能会提供这些回溯一段时间。
• 留意更新。订阅Joomla公告邮件列表。尽可能快地应用这些更新。像Joomla和WordPress这样的流行应用程序是脚本小子和自动化机器人的频繁和轻松的目标。
• 进行备份。
• 请确保您的托管公司已正确设置服务器，以便用户A不会影响用户B的文件（文件权限，suexec或类似文件）。我不知道这些日子有多普遍，但过去曾经是一个频繁的疏忽。
• 进行备份。
• 不要在不需要它的文件和文件夹上启用写权限。
• 进行备份。

Answer 2

你在那里运行着什么样的PHP-Framework/CMS？首先是在那里获得更新。第二个想法是删除这些目录上的写权限，在这些目录中PHP-Shell被放置。我要做的第三件事是删除php-shell（尝试查找不属于您的cms/framework的文件）。

祝你好运