從哪裏可以看到我的Joomla安裝藥房黑客？

Question

今天我們發現我們的Joomla網站已經被藥房木馬侵入。

很難發現，因爲大多數用戶在訪問我們的網站時看不到它。

一位用戶在2周前報告說我們的網站包含viagra/pharmacy垃圾郵件。 我們已經研究過它，但什麼都沒發現。結論是用戶電腦被感染了。

昨天另一位用戶報告了這個問題，所以我又開始調查了。

一小時後，我發現該網站確實感染了。

當我訪問這個網頁，使用網絡瀏覽器的所有如果罰款：

http://www.outertech.com/en/bookmark-manager

但是，如果我做了谷歌翻譯本網頁我看感染（偉哥和犀利士鏈接）：

http://translate.google.com/translate?sl=en&tl=de&js=n&prev=_t&hl=de&ie=UTF-8&u=http%3A%2F%2Fwww.outertech.com%2Fen%2Fbookmark-manager

同樣的情況，如果我使用捲曲：

curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://www.outertech.com/en/bookmark-manager 

作爲下一步，我做了一個網站的備份（Akeeba），並將其轉移到本地xampp安裝以供進一步調查。

與網站本地xampp安裝也有同樣的問題，所以Joomla的安裝確實感染了。

的

http://localhost/en/bookmark-manager 

訪問顯示沒有問題，但

curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://localhost/en/bookmark-manager 

含有偉哥鏈接。

我找了幾個小時（主要是php）的文件，做了很多greps等，但我找不到任何可疑的東西。

Virus Total和Google網站管理員將該網站報告爲乾淨。

我在myjoomla.com上做過審計，但沒有發現惡意軟件。

如果有人能指出我正確的方向，我將非常感激。

從哪裏看我的Joomla安裝這個黑客？

Answer 1

我已經恢復了未被感染到本地Xampp安裝的舊備份。做了當前站點的備份並安裝到另一個本地Xampp實例中。對兩個安裝之間的所有文件進行了差異化，並在application.php文件中發現了黑客（它只有一行）。刪除線和黑客死亡。我仍然不知道該網站是如何感染的（所有插件都是最新版本）。我已經將密碼更改爲安全措施，並每週對此黑客進行一次監控。

編輯：myJoomla.com報告確實找到了黑客，我沒有仔細閱讀報告。

Answer 2

我們最近恢復並將Joomla 1.5站點遷移到2.5，在模板文件（index.php和模板html/目錄中的各種覆蓋文件）中發現了黑客行爲。

令人驚訝的是我們還發現大約1/10的文章被感染。即當我們搜索jos_content表時，我們發現fulltext列中嵌入了Javascript。所以，我建議也看看那裏。

Answer 3

最好的辦法是使用像myJoomla這樣的工具，因爲它是專門爲Joomla這類事情創建的。

Answer 4

我也有這個問題，如果我訪問一個子頁面，主頁將加載，而不是顯示大量的藥劑亂碼。但是這隻發生在我打開Firefox Firebug的時候。事實證明，在我的模板下的/ html有一個mysql.php文件，不應該在那裏。幸運的是，我創建了這個模板，所以我刪除了服務器上的模板並上傳了我的原始版本，問題就消失了。希望這可以幫助。