1. 首頁
  2. 問答
  3. Joomla被黑客攻擊並重定向到dndelectric網站

Joomla被黑客攻擊並重定向到dndelectric網站

2011-11-23 89 views
2

我在我的所有文件中搜索了可能重定向或將此惡意軟件放入我的網站無濟於事的內容。以前有過這種情況的人嗎?它分佈在我託管的多個站點上。與他們共同的組成部分是jevents,但即使代碼沒有改變。Joomla被黑客攻擊並重定向到dndelectric網站

有沒有辦法阻止這些來自.htaccess的請求?

來源

2011-11-23 Churchill

回答

7

你真的需要把你的網站離線 - 實際上是從服務器中刪除文件,並確定這是什麼類型的黑客。

首先,雖然我會建議在關閉瀏覽器的JavaScript和瀏覽自己的網頁 - 你仍然重定向?

如果沒有 - 那麼,問題可以是:

一)JavaScript文件已添加到您的網站 - 或現有的JavaScript文件已被修改。檢查頁面中加載的所有.js文件。

二)SQL注入增加了JavaScript的直接到你的文章(也許每一個文章

假設你被重定向而爲關閉JavaScript - 那麼你正在尋找在任: 一)的編輯的.htaccess文件將您重定向到其他地方 b)編輯(或「包含」)php文件設置標題並將您帶到別處。

是否有任何加載項在您的網站(S)這裏列出: http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=joomla&filter_exploit_text=&filter_author=&filter_platform=0&filter_type=0&filter_lang_id=0&filter_port=&filter_osvdb=&filter_cve=

你需要知道它是否只是你的網站受到影響,或者是否是服務器上的其他網站,甚至是否服務器本身已被接管,這是您的主機的問題。在從備份重建後立即重新感染可能意味着: a)cron作業已設置爲在設定的時間段內再次感染您 b)服務器上的另一個帳戶已感染並正在接觸以重新感染其他人c)您的網站之前遭到破壞(在網站內丟棄文件),但這些網站處於休眠狀態,正在等待個人或僵屍網絡進行連接並進行控制。 d)或服務器是完全妥協,黑客只需重新連接到重新感染

有,你可以採取一些措施 - 但坦率地說,這是如果你需要一個問它一個區域可能是你AREN的標誌如果沒有專家的協助,我們無法處理這個問題。

  1. 你可以用grep的文件可能文件模式C99,R57,網殼,EVAL(base64decode(等

  2. 你可以掃描最近的創建日期或修改最近的日期/時間的文件

文件中的最後X天變更(1天在這種情況下)

find . -mtime -1

個文件兩個日期

find . -type f -newermt "2010-01-01" ! -newermt "2010-06-01"

  1. 您應該掃描日誌文件的可疑活動之間改變

  2. 你可以下載的文件,並讓您的防病毒程序對其進行掃描 - 這可以給你一個地方開始(不要讓它刪除文件,儘管它們的內容可以提供進一步的線索)。

  3. 你應該阻止已知的自動/腳本useragents(wget的,libwww的,等等)

總而言之訪問雖然你可以花幾天沒有成功的保證作戰這一點。我的建議是從Joomla安全專家那裏獲得一些幫助。

來源

2011-11-24 01:19:39

+0

我已經確定了正在發生的事情,但仍不知道如何發生。我的.htaccess文件不斷變化。通過.htaccess,我的意思是在我的網站的根文件夾上創建一個。不在個人文件夾中。我已經刪除並創建了一個新的權限,將權限更改爲644,但新的權限仍然被創建。我如何去做這件事? – Churchill

+0

是否有一個Linux命令來檢查修改文件?重定向網址也隨着時間而改變。它不是不變的,所以它意味着有一個腳本改變.htaccess。 – Churchill

+0

我以前見過這個(並修復了它),有一個腳本在你的服務器上的某個地方執行,它將惡意代碼推送到你的.htaccess文件中。通常這個腳本被包含在某個地方,插入到一個php文件中,它通常會調用一些執行的代碼,並將重定向內容插入到.htaccess中 - 最好的辦法就是追蹤正在執行的腳本。獲取Firebug,使用NoScript並開始擊中它! – Hanny

1

您可能不得不真的比較目錄,如果可以的話,您使用的擴展的原始安裝。檢查目錄權限 - 如果你看到777或異常高的權限,那麼這可能是問題出現的起點的良好開端。檢查錯誤日誌,可能指向丟失的東西或者已經改變的東西,現在正在拋出錯誤。

你想嘗試找出問題/惡意軟件/病毒,因爲它會幫助你的下一個部分。

找到最後一個備份您遭到攻擊之前是一個很好的有效副本,並從那裏走。最好的辦法是徹底擺脫當前的網站並從備份中恢復(完全) - 假設備份不包含病毒/惡意軟件。

有時候會有隻是加入到引起重定向代碼行現有代碼的一個或兩行 - 這是很難追查下來,並確定,但如果你比較大小,這樣就可以做到這一點。只是費時。我希望這些信息有所幫助 - 祝你好運。

此外,它聽起來就像如果它蔓延你的整個服務器被攻破 - 不要使用多個網站使用相同的密碼,或默認用戶名(admin)。始終更改密碼和用戶名。如果您將用戶名默認爲'admin',黑客已經有50%的登錄數據。通過更改用戶名來改變它們的難度。提醒您的主機遭到黑客攻擊 - 他們將在這些情況下提供幫助,並防止其蔓延到您的帳戶以外的地方。使用該主機更改密碼,更改每個站點的密碼(最好在清理惡意軟件/病毒之後)。

來源

2011-11-23 14:40:05 Hanny

+0

它似乎正在改變,因爲它現在正在獲取一些其他文件。太奇怪了!猜猜我將不得不重新做大部分網站。 – Churchill

+0

只要您有有效的備份,就不需要。 – Hanny

+0

如果你不採取備份 - 那麼你應該。 Akeeba Backup是免費的,幾乎是Joomla網站的最佳備份解決方案。從字面上一鍵式備份,照顧您的數據庫和整個網站。對於任何Joomla網站來說,這是絕對必要的,只是針對這種情況。確保讓主人知道 - 很多時候他們在這些情況下都非常有幫助。祝你好運! – Hanny

1

我在我的共享主機帳戶上經歷了同樣的.htaccess破解。我有5個站點運行Joomla! v 1.5 < ---> 2.x.經過幾個小時的權限測試和其他所有可能的方式來阻止惡意.htaccess文件再生,我發現我的兩個活Joomla!安裝在'tmp'目錄[joomla_root/tmp]中有神祕的.php文件。一個文件被命名爲'jos_AjnJA.php',另一個文件被命名爲'j.php'。我將這兩個文件的權限更改爲000,然後再次將我的原始.htaccess文件恢復到各自的文件夾。普雷斯托!和以前一樣,.htaccess文件在幾分鐘內終於沒有被惡意地重寫。 24小時之後,所有Joomla上的應用程序仍然正常工作!安裝。

我無法強調:我確信這個漏洞有多種變化,但是請自己做一個大忙,並且首先檢查您的Joomla上的所有tmp文件夾!安裝任何可疑的.php文件!

來源

2012-10-08 20:06:27

2

爲了您的下一次安裝,您可能需要考慮安裝基於主機的入侵檢測系統OSSEC。它提供了多種安全功能,包括文件完整性檢查,它們會檢測到您的.htaccess文件被篡改。 OSSEC是免費且開源的。

來源

2012-11-22 21:33:09 NomadeNumerique

相關問題

 相關問題