Joomla Hacked并重定向到dndelectric网站

时间:2011-11-23 13:22:05

标签: joomla

我在我的所有文件中搜索了可能重定向或将此恶意软件放入我的网站无效的内容。以前有过这个的人吗?它分布在我托管的多个网站上。与它们共同的组成部分是jevents,但即使是代码也没有改变。

有没有办法阻止来自.htaccess的这些请求?

4 个答案:

答案 0 :(得分:7)

您确实需要让您的网站脱机 - 实际上从服务器中删除文件并确定这是什么类型的黑客。

首先,虽然我建议您在浏览器中关闭javascript并访问您的网页 - 您是否仍会被重定向?

如果没有 - 则问题是:

a)javascript文件已添加到您的网站 - 或者已编辑现有的javascript文件。检查页面中加载的所有.js文件。

b)sql注入已将javascript直接添加到您的文章中(可能是每篇文章

假设您在javascript关闭时被重定向 - 那么您正在寻找: a)已编辑的.htaccess文件,将您重定向到其他位置 b)编辑(或“包含”)的php文件设置标题并带你到其他地方。

此处列出了您网站中的任何加载项: http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=joomla&filter_exploit_text=&filter_author=&filter_platform=0&filter_type=0&filter_lang_id=0&filter_port=&filter_osvdb=&filter_cve=

您需要知道是否只有您的网站遭到入侵,或者它是否是服务器上的其他网站,甚至服务器本身是否已被接管,这对您的主机来说都是一个问题。从备份重建后立即重新感染可能意味着: a)已设置cron作业以在设定的时间段内重新感染您 b)服务器上的另一个帐户被感染,并且正在接触以重新感染其他帐户 c)您的站点先前已被泄露(站点内丢弃的文件),但这些站点处于休眠状态,等待个人或僵尸网络连接并控制。 d)或服务器完全受损,黑客只是重新连接以重新感染

你可以采取一些措施 - 但坦率地说,如果你需要问这个问题,这可能是一个标志,你没有能力在没有专家协助的情况下处理这个问题。

  1. 您可以使用grep文件查找可能的文件模式c99,r57,web shell,eval(base64decode(等等)

  2. 您可以扫描具有最近创建日期或最近修改日期/时间的文件

    3. 过去x天(本例中为1天)更改了文件

    find . -mtime -1

    两个日期之间的文件已更改

    find . -type f -newermt "2010-01-01" ! -newermt "2010-06-01"

    1. 您应该扫描日志文件以查找可疑活动

    2. 您可以下载文件并让您的防病毒程序扫描它们 - 这可以为您提供一个起点(不要让它删除文件,因为它们的内容可以提供更多线索)。

    3. 您应阻止已知自动/脚本用户(wget,libwww等)的访问

      4. 总而言之,你可以花几天时间与此作斗争并不能保证成功。我的建议是从Joomla安全专家那里获得一些帮助。

答案 1 :(得分:2)

对于下次安装,您可能还需要考虑安装基于主机的入侵检测系统OSSEC。它提供了多种安全功能,包括文件完整性检查,它可以检测到.htaccess文件的篡改。 OSSEC是免费和开源的。

答案 2 :(得分:1)

您可能必须真正比较目录,如果可以,您可以使用您使用的扩展程序的原始安装。检查目录权限 - 如果您看到具有777或异常高权限的内容,那么这可能是问题可能源自何处的良好开端。检查错误日志,可能指向丢失的内容或已更改的内容,现在正在抛出错误。

您想尝试识别问题/恶意软件/病毒,因为它可以帮助您处理下一部分。

在被黑客攻击之前找到最后一个备份,这是一个很好的有效副本,并从那里开始。最好的办法是完全摆脱当前站点并从备份中恢复(完全) - 假设备份中不包含病毒/恶意软件。

有时只会有一两行代码添加到导致重定向的现有代码行中 - 这些代码很难追溯并识别,但如果比较大小等,则可以这样做。只是耗费时间。我希望这些信息有所帮助 - 祝你好运。

此外,如果它正在传播,您的整个服务器都会受到损害 - 请勿对多个站点使用相同的密码,或使用默认用户名(admin)。始终更改密码和用户名。如果您将用户名默认为“admin”,则黑客已经有50%的登录信息。通过更改用户名使其变得困难。提醒你的主人你已被黑客入侵 - 他们会在这些情况下提供帮助,并且可以防止它超出你的帐户。使用该主机更改密码,更改每个站点的密码(最好在清除恶意软件/病毒后)。

答案 3 :(得分:1)

我在共享主机帐户上遇到了同样的.htaccess黑客攻击。我有5个运行Joomla的网站! v 1.5< ---> 2.x版本经过几个小时的试验权限和其他可以想象的方法来阻止恶意.htaccess文件重新生成,我发现我的两个活着的Joomla!安装在'tmp'目录[joomla_root / tmp]中有神秘的.php文件。一个文件名为'jos_AjnJA.php',另一个文件名为'j.php'。我将这两个文件的权限更改为000,然后再次将原始的.htaccess文件恢复到各自的文件夹。普雷斯托! .htaccess文件最终没有像以前那样在几分钟内被恶意重写。 24小时后,我所有的Joomla都应该可以正常工作!安装。

我不能强调:我确信这个漏洞有各种各样的变化,但你自己是一个巨大的帮助,并首先检查你的Joomla上的所有tmp文件夹!安装任何可疑的.php文件!

相关问题
最新问题