我有一个在共享主机上运行的Joomla 1.0网站,我没有shell访问权限(只有FTP可用)。最近我的网站被谷歌标记为恶意软件网站,我通知.htaccess文件被恶意内容修改。这些重定向规则被称为“depositpeter.ru”的网站被添加到.htaccess:
ErrorDocument 400 http://depositpeter.ru/mnp/index.php
ErrorDocument 401 http://depositpeter.ru/mnp/index.php
...
如果我清理这个.htaccess文件,几分钟后它会被恶意内容修改回来。
我怀疑有一些后门PHP和javascript已经注入我们的代码库,不断修改.htaccess文件。但是我不知道这些恶意软件是如何首先登陆我的网站的。我很确定没有FTP用户将这些内容上传到我的网站。病毒扫描发现有一个用户上传的图像注入PHP.ShellExec恶意软件(我不知道这个PHP.ShellExec是如何工作的,如果它与.htaccess病毒有关)。
我的问题是我该如何开始排查和清除此恶意软件?我很无能,对处理网络恶意软件的经验很少。任何帮助都非常感谢!
答案 0 :(得分:4)
自己解决这个问题可能超出了你的能力范围。但是这里有一些你应该做的事情。
在uploads目录中添加.htaccess文件,该文件将阻止访问除上传图像以外的任何内容。它可能看起来像这样:
Order deny,allow
Deny from all
<FilesMatch "\.(jpe?g|bmp|png)$">
Allow from all
</FilesMatch>
如果您的主机没有阻止允许php调用系统命令的功能(您会感到惊讶)并且您知道该怎么做,您可以使用{{1}使用自定义php脚本模仿shell访问},system,exec和其他一些功能。我使用自己编写的脚本:https://github.com/DCoderLT/Misc_Tools/blob/master/sh/sh.php。这是相当原始的,但是在我需要的时候完成了工作。
未来考虑因素:
答案 1 :(得分:0)
你在那里运行什么样的PHP-Framework / CMS?首先是在那里获得更新。第二个想法是删除PHP-Shell放在这些目录上的写权限。我要做的第三件事就是删除php-shell(尝试查找不属于你的cms / framework的文件)。
祝你好运