如果您的网站在更新之前遭到黑客入侵,您需要梳理文件系统中已修改和/或添加的文件。
上传Joomla 3.4.8的新副本不会解决此问题。
我打算假设linux,因为那是在我运行的时候。我管理每个托管多个域的多个LAMP服务器。
保存备份并将其标记为受感染。这样做是因为该网站正在工作,虽然感染了。
第一件事情......
run tail -f path/to/logs/* | grep POST
你需要看看谁调职奇文件在您的网站。 关闭单词包装。 每个发现都需要被视觉观看。 joomla文件以<?php\n
开头,然后评论标题。如果您看到一串PHP代码,则需要将其删除。
这是一些发布到我看到很多文件的列表。
nnnnnnnnnnnnnnnnn.php
alias.php
article.php
css.php
blog66.php
defines.php < Joomla file that has been modified.
dirs.php
footer4.php
functions14.php
global.php
lib87.php
trust.php
functions.php
/includes/defines.php不应该是一个长文件。如果你看到// istart,那么你需要从这一点上删除所有的东西。
您需要grep使用eval或GLOBAL的文件。 istart也应该被检查。这些命令很可能会输出大量的数据,因此将其输入较少。
find /home -iname \*.php | xargs pcregrep -M "^<?php.*\n.*fun"
find /home/ -iname \*.php | xargs grep "eval("
find ./ -iname \*.php | xargs grep "globals"
管道减少这样的作品。
find ./ -name \*.php | xargs grep -r "eval(" | less
grep -r "eval(" | less
你要寻找的包含编码字符串这样的,但较长的文件:(代码贴无效)1ktebHkKHMh7oMftoPA4evcfEoVJs4sUmcTtLCl5Jq0IGoKAUnbzDC1f6C2rJpduyVxvDvRsEztPwSUb6ey73tAVtx8A6BPK + SwyqR/edx3BsfPnmsfbwCFG2kYk
很多时候,该文件将与EVAL BASE64_DECODE和gzuncompress结束。
许多合法文件使用eval和base64解码。如果你看到一段非常长的编码数据,它很可能是一个恶意文件。过了一段时间,您将能够看到看起来不正确的图案。
一些文件也可能有谷歌机器人的用户代理。我最近已经看到了这个字符串,所以我们也需要为以下字符串查找字符串googlebot
grep文件。
你可以备份任何你得到的文件,并检查他们对joomla的github回购。
https://github.com/joomla/joomla-cms
还要检查MAILQ为垃圾邮件的僵尸网络造成延期的消息,这是许多这些文件都使用什么..
我还添加了iptables规则类似下面的最初停止。
-A INPUT -p tcp -m tcp --dport 80 -m string --string "POST /libraries/joomla/exporter.php" --algo bm --to 90 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 80 -m string --string "POST /modules/bmvlfj.php" --algo bm --to 90 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 80 -m string --string "POST /modules/7595mb.php" --algo bm --to 90 -j REJECT --reject-with icmp-port-unreachable
可能有很多其他方式来搜索恶意文件,但这是我现在的方法。
将所有恶意文件关闭后,进行备份,然后更新所有扩展。之后,我会再次检查您的文件,并将Joomla文件的全新副本加载到您的网站上,然后搜索网络目录中最旧的文件。
确定它完全干净后,更改所有密码和备份。不要在本地存储备份。
可能恢复到以前的已知好版本的网站? – David
不幸的是,负责网站的人从未完全想到如何备份。 – Arkitec
一个被黑客入侵的Joomla网站的解决方案:http://joomla.stackexchange.com/a/2339/120 –