今天我們發現我們的Joomla網站已經被藥房木馬侵入。從哪裏可以看到我的Joomla安裝藥房黑客?
很難發現,因爲大多數用戶在訪問我們的網站時看不到它。
一位用戶在2周前報告說我們的網站包含viagra/pharmacy垃圾郵件。 我們已經研究過它,但什麼都沒發現。結論是用戶電腦被感染了。
昨天另一位用戶報告了這個問題,所以我又開始調查了。
一小時後,我發現該網站確實感染了。
當我訪問這個網頁,使用網絡瀏覽器的所有如果罰款:
http://www.outertech.com/en/bookmark-manager
但是,如果我做了谷歌翻譯本網頁我看感染(偉哥和犀利士鏈接):
同樣的情況,如果我使用捲曲:
curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://www.outertech.com/en/bookmark-manager
作爲下一步,我做了一個網站的備份(Akeeba),並將其轉移到本地xampp安裝以供進一步調查。
與網站本地xampp安裝也有同樣的問題,所以Joomla的安裝確實感染了。
的
http://localhost/en/bookmark-manager
訪問顯示沒有問題,但
curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://localhost/en/bookmark-manager
含有偉哥鏈接。
我找了幾個小時(主要是php)的文件,做了很多greps等,但我找不到任何可疑的東西。
Virus Total和Google網站管理員將該網站報告爲乾淨。
我在myjoomla.com上做過審計,但沒有發現惡意軟件。
如果有人能指出我正確的方向,我將非常感激。
從哪裏看我的Joomla安裝這個黑客?
類型的longshot,但你使用緩存擴展,如JotCache?有些會保留用戶代理特定的數據,因此您可以嘗試清空Googlebot特定的緩存(如果有的話)。至於其中毒原因,首先,這是一個有趣的事情來調查,雖然看起來你正在使用Joomla! 1.5,它不再受支持,不再具有安全修復程序。 – MasterAM
您是否使用網站前端的任何擴展功能來允許用戶上傳圖庫等文件?第三方的extensio可能會利用您的網站 – Lodder