我们今天发现我们的Joomla网站遭到了药房木马的攻击。</ p>
很难发现,因为大多数用户在访问我们的网站时都没有看到它。
一位用户在2周前报告说我们的网站包含伟哥/药房垃圾邮件。 我们调查过它,但一无所获。结论是用户计算机被感染了。
昨天另一位用户报告了这个问题,所以我又开始调查了。
一小时后,我发现该网站确实被感染了。
当我使用我的网络浏览器访问此网页时,如果没有问题:
http://www.outertech.com/en/bookmark-manager
但是,如果我对这个网页进行谷歌翻译,我会看到感染(伟哥和cialis链接):
如果我使用curl,也会发生同样的情况:
curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://www.outertech.com/en/bookmark-manager
作为下一步,我对网站进行了备份(Akeeba)并将其转移到本地xampp安装进行进一步调查。
与网站的本地xampp安装也存在同样的问题,因此Joomla安装确实受到了感染。
访问
http://localhost/en/bookmark-manager
显示没有问题,但是
curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://localhost/en/bookmark-manager
包含伟哥链接。
我已经在(主要是php)文件中查找了几个小时,做了很多greps等,但我找不到任何可疑的东西。
Virus Total和Google网站管理员将网站报告为干净。
我在myjoomla.com上进行了审核,但没有发现任何恶意软件。
如果有人能指出我正确的方向,我将非常感激。
在哪里可以查看我的Joomla安装中的这个黑客?
答案 0 :(得分:1)
我已经恢复了未感染本地Xampp安装的旧备份。做了当前站点的备份并安装到另一个本地Xampp实例中。在两个安装之间制作了所有文件的差异,并在application.php文件中找到了hack(它只有一行)。删除线,黑客死了。我仍然不知道该网站是如何被感染的(所有插件都是最新版本)。我已经将密码更改为安全措施,并且每周一次监控此黑客。
编辑:myJoomla.com报告确实找到了黑客,我没有仔细阅读报告。
答案 1 :(得分:0)
我们最近恢复并将Joomla 1.5站点迁移到2.5,并在模板文件(index.php和模板html/目录中的各种覆盖文件)中找到了hack。
令人惊讶的是,我们还发现大约十分之一的文章被感染了。即当我们搜索jos_content表时,我们发现fulltext列中嵌入了Javascript。所以,我建议也在那里寻找。
答案 2 :(得分:0)
最好的办法是使用像myJoomla这样的工具,因为它是为Joomla专门为此类创建的。
答案 3 :(得分:0)
我也有这个问题,如果我访问子页面,主页将加载而显示很多药房乱码。但这只发生在Firefox Firebug打开时。事实证明,在我的模板/ html下面有一个不应该存在的mysql.php文件。幸运的是,我创建了这个模板,所以我删除了服务器上的模板并上传了原始版本,问题就消失了。希望这会有所帮助。