病毒/惡意軟件修改Joomla CMS網站上的.htaccess

Question

我有一個運行在共享主機上的Joomla 1.0網站，我沒有shell訪問權限（只有FTP可用）。最近，我的網站被Google標記爲惡意軟件網站，並且我通知該.htaccess文件被惡意內容修改。這些規則重定向到一個名爲 'depositpeter.ru' 被添加到的.htaccess網站：

的ErrorDocument 400 http://depositpeter.ru/mnp/index.php
的ErrorDocument 401 http://depositpeter.ru/mnp/index.php ...

如果我清理這個.htaccess文件，這將是幾分鐘後修改爲惡意內容。

我懷疑有一些後門PHP和JavaScript已注入我們的代碼庫，它不斷修改.htaccess文件。但是我不知道這些惡意軟件如何首先出現在我的網站上。我很確定沒有FTP用戶將這些文件上傳到我的網站。病毒掃描發現有用戶上傳的圖像被注入PHP.ShellExec惡意軟件（我不確定PHP.ShellExec是如何工作的，以及它是否與.htaccess病毒有關）。

我的問題是我應該如何開始故障排除和清理這個惡意軟件？我非常無能，並且在處理網絡惡意軟件方面經驗不足。任何幫助非常感謝！

Answer 1

你可能無法自己解決這個問題。但是這裏有一些你應該做的事情。

• 下載您擁有的任何apache/php日誌 - 這些可以指向被利用的安全漏洞。如果您能找到條目，請確保覆蓋這些孔。
• 刪除指示爲感染的圖像。
• 聯繫您的主機 - 幾家託管公司有自動化解決方案來查找和清除常見漏洞。另外，如果您的網站受到感染，則賠率是，同一臺服務器上的其他客戶端也是如此。
  • 相反，它可能是另一臺客戶端在同一臺服務器上，導致您的這個問題。

• 在上傳目錄中添加一個.htaccess文件，該文件將阻止訪問上傳圖像以外的任何內容。它可能是這個樣子：

  Order deny,allow
Deny from all
<FilesMatch "\.(jpe?g|bmp|png)$">
Allow from all
</FilesMatch>

• 如果你的主機沒有阻擋功能，讓PHP調用系統命令（你會驚奇地發現），你知道該怎麼做，你可以模仿殼使用system,exec,popen和一些其他功能訪問自定義的PHP腳本。我使用我自己製作的腳本：https://github.com/DCoderLT/Misc_Tools/blob/master/sh/sh.php。這是相當原始的，但是當我需要時完成工作。

未來的考慮：

• 創建備份。您的託管公司可能會提供這些回溯一段時間。
• 留意更新。訂閱Joomla公告郵件列表。儘可能快地應用這些更新。像Joomla和WordPress這樣的流行應用程序是腳本小子和自動化機器人的頻繁和輕鬆的目標。
• 進行備份。
• 請確保您的託管公司已正確設置服務器，以便用戶A不會影響用戶B的文件（文件權限，suexec或類似文件）。我不知道這些日子有多普遍，但過去曾經是一個頻繁的疏忽。
• 進行備份。
• 不要在不需要它的文件和文件夾上啓用寫權限。
• 進行備份。

Answer 2

你在那裏運行着什麼樣的PHP-Framework/CMS？首先是在那裏獲得更新。第二個想法是刪除這些目錄上的寫權限，在這些目錄中PHP-Shell被放置。我要做的第三件事是刪除php-shell（嘗試查找不屬於您的cms/framework的文件）。

祝你好運