我有一个运行在共享主机上的Joomla 1.0网站,我没有shell访问权限(只有FTP可用)。最近,我的网站被Google标记为恶意软件网站,并且我通知该.htaccess文件被恶意内容修改。这些规则重定向到一个名为 'depositpeter.ru' 被添加到的.htaccess网站:病毒/恶意软件修改Joomla CMS网站上的.htaccess
的ErrorDocument 400 http://depositpeter.ru/mnp/index.php
的ErrorDocument 401 http://depositpeter.ru/mnp/index.php ...
如果我清理这个.htaccess文件,这将是几分钟后修改为恶意内容。
我怀疑有一些后门PHP和JavaScript已注入我们的代码库,它不断修改.htaccess文件。但是我不知道这些恶意软件如何首先出现在我的网站上。我很确定没有FTP用户将这些文件上传到我的网站。病毒扫描发现有用户上传的图像被注入PHP.ShellExec恶意软件(我不确定PHP.ShellExec是如何工作的,以及它是否与.htaccess病毒有关)。
我的问题是我应该如何开始故障排除和清理这个恶意软件?我非常无能,并且在处理网络恶意软件方面经验不足。任何帮助非常感谢!
非常感谢!在您的建议后,我试图上传一个PHP外壳包装到我的共享主机,并出人意料地工作。幸运的是,我有一个干净的备份我的网站。我现在将当前版本的网站下载到我的电脑,并尝试通过文件与干净备份比较文件,以期望找到恶意软件。我也删除了病毒图片。已经联系我的托管支持,他们做的是做一个病毒扫描并修复我的文件和文件夹的一些写权限。 – Pinch 2012-03-20 16:36:16
@Duc:按照承诺,添加到我使用的PHP外壳包装的链接。 – DCoder 2012-03-20 17:35:27