表达式引擎黑客入侵的网站

Question

我刚刚被一个老客户，谁已经得到了谷歌从话说以下..

尊敬的业主或http://www.beyondthestreets.org.uk/站长发电子邮件联系，

我们谨此通知您，知道http://www.beyondthestreets.org.uk/的部分网页会被标记为可能会在我们的搜索结果中受到损害。这是因为您的某些网页包含的内容可能会损害搜索结果的质量和相关性。看起来，这些网页是由第三方创建或修改的，第三方可能已经全部或部分侵入您的网站。很多时候，他们会上传文件或修改现有文件，然后在索引中显示为垃圾邮件。 以下是一些显示此行为的示例URL： ·http://beyondthestreets.org.uk/aligmnment-digital-systems-principles-and-applications-11th-e-digital-systems/ ....

其余部分不相关。我有一个快速的样子，他们还没有编辑模板文件，但当我看到它的来源，它看起来像它。

它的运行1.6.7所以它相当过时。我没有收到数据库的副本。有什么建议？

Answer 1

从EE版本1.7.0的更改日志：

修正了一个安全问题，在某些情况下，可能导致执行任意代码。

不是说这是发生了什么，但它可能是。如果是这样，那么你不能相信你的任何设置。不是模板，不是数据库，不是系统文件。

即使您的网站托管因其自身的灾难恢复目的而未宣传该服务，也有可能您的网站托管已备份，因此可能值得一试与他们联系。

如果你无法恢复，我认为唯一的真正的安全行动将是一个全新的安装EE，最新的1.x（或2.x，如果你希望进一步开发该网站）。然后，在导入它们之前，您需要检查每个模板，博客条目，成员帐户和评论。

如果全新的安装和导入超出了您能够管理的范围，那么您可能需要进行一些取证，以确定是否可以确定哪些文件和数据库记录已被修改。您可以先查看文件的修改日期。但这些也可能是假的。所以你也可以考虑，至少对于全新安装和当前状态之间运行文件差异的库存EE文件。

同样在前进的基础上，做一下史蒂夫B所说的并制定了灾难恢复计划。对于数据库备份，我们使用AutoMySQLbackup来使用我们使用的从Cron触发的rsnapshot文件，但是有很多选择，包括您的主机提供的服务。