Joomla恶意代码删除

时间:2011-11-14 20:49:48

标签: php joomla joomla1.5 joomla-extensions

这是我的网站。 http://ziggymonster.com/

起初它有4个torjan感染的js文件和一些恶意代码。我已经清理了那些文件。但现在我无法找到这个javascript include。

<script src="http://boneraffyaho.cz.cc/jquery.minph.js"></script>

您可以通过查看页面来源查看。

它包括在每个结尾。它保持页面加载,扫描程序将其检测为恶意代码。

到目前为止我尝试过的事情。

1)更改了模板 2)尝试禁用所有组件。 3)尝试禁用所有组件。 4)试图禁用所有插件。 5)下载完整站点并在完整站点中搜索此代码。但找不到。

但它仍然存在。你能给我一些建议吗?

4 个答案:

答案 0 :(得分:2)

即使禁用了javascript,恶意代码也会出现在页面中 - 这告诉我们它不是由其他js文件中的document.write写入的。

当我们使用tmpl = component&amp; no_html = 1设置来访问网站时,它会抑制模板输出并仅发送组件的输出,代码仍然存在: http://ziggymonster.com/?tmpl=component&no_html=1

这将强烈指向附加在网站根目录中的主Joomla index.php文件末尾的代码。或者,模板自己的文件夹或/ templates / system /文件夹中的component.php文件可能是可行的候选者。

现场清理网站存在风险 - 但可以使用正确的知识,一些经验和正确的工具来完成。我建议找一位经验丰富的Joomla安全专家,或者重新构建网站的文件:在一个完全干净的文件夹中安装一个新的Joomla(localhost服务器最好),安装所有扩展,然后删除你的直播站点,并将文件上传到您的Web空间,将文件绑定到原始数​​据库。

当然,从几天前恢复到备份是最好的选择 - 你有备份吗?

您应该检查日志文件,以了解攻击是如何进行的。您还应该更改所有密码,升级Joomla和所有加载项 - 并考虑更改Web主机,如果它看起来像服务器上的另一个帐户提供了允许黑客进入的权限。

祝你好运。

答案 1 :(得分:1)

删除各种恶意代码的最快方法是通过ssh连接,打开你网站的目录并运行如下查询:

find . '*.*' -exec replace 'HERE_IS_BAD_CODE' '' -- {} \;

您可以通过修改* .php或* .html

上的来过滤要搜索的文件类型

disclamer:你应该非常谨慎地使用ssh

答案 2 :(得分:1)

如果您对ssh感到满意,那么您可以使用此命令:

find . -type f -iname '*.php' -exec grep -l "mail(\|eval(\|sockopen\|socket_client" {} \;

其中包含危险代码的php文件(从当前目录递归)。 php的本机邮件功能是黑客感兴趣的,但是eval和socket api函数也是如此。我每天在我的服务器上运行一次这个命令,过去发现了恶意脚本。

答案 3 :(得分:0)

要确定,您需要重建您的网站。备份您的数据库和文件,然后从docroot中删除所有文件,并从新副本(来自http://www.joomla.org/的Joomla,来自其站点的扩展等)重新上传。然后,您将重新上传媒体文件夹和任何自定义代码(模板等)。

如果您不是非常技术性,则需要安装Joomla和扩展,然后删除数据库和configuration.php,并重新上传旧的configuration.php和数据库。否则你必须自己解开扩展包。

至少,我建议上传Joomla核心的新副本(您需要在执行此操作后立即删除'安装'目录)。这是非常安全的,因为分发不会覆盖你的'configuration.php'。当然,如果你已经攻击了Joomla核心(糟糕的想法),那么你需要重新应用你的自定义黑客。

审核您的安全措施也是一个好主意 - 您的密码是否需要更改?您的所有文件是否都需要由Web服务器写入?