這是我的網站。 http://ziggymonster.com/Joomla惡意代碼移除
起初它有4個torjan感染了js文件和一些惡意代碼。我清理了那些文件。但現在我無法找到這個JavaScript包括。
<script src="http://boneraffyaho.cz.cc/jquery.minph.js"></script>
您可以通過查看頁面源查看。
它被包括在每個結尾。它使頁面加載並且掃描器將其檢測爲惡意代碼。
到目前爲止我嘗試過的東西。
1)更改模板 2)嘗試禁用所有組件。 3)嘗試禁用所有組件。 4)試圖禁用所有插件。 5)下載完整的網站,並在完整的網站搜索此代碼。但找不到。
但它仍然存在。你能給我一些建議嗎?
即使JavaScript被禁用,惡意代碼仍然存在於頁面內 - 這告訴我們它並沒有被其他js文件中的document.write寫入。
當我們親臨現場與TMPL =組分& no_html = 1個設置,這抑制模板輸出只發送組件的輸出的代碼仍然存在: http://ziggymonster.com/?tmpl=component&no_html=1
這將相當強烈指向代碼有被附加在你網站根目錄的主要Joomla index.php文件的末尾。或者,模板自己的文件夾或/ templates/system /文件夾中的component.php文件可能是可行的候選項。
清理現場是有風險的 - 但可以用正確的知識,一些經驗和正確的工具來完成。我建議找一個有經驗的Joomla安全專家來做,或者重新構建網站的文件:在一個完全乾淨的文件夾中安裝一個新的Joomla(本地主機服務器將是最好的),安裝所有的擴展,然後刪除您的直播網站,並將文件上傳到您的網絡空間,將文件綁定到原始數據庫。
當然,恢復到幾天前的備份將是最好的選擇 - 你有備份是嗎?
您應該檢查日誌文件以瞭解攻擊是如何發生的。您還應該更改所有密碼,升級Joomla和所有加載項 - 並考慮更改網站主機,如果它看起來像服務器上的另一個帳戶提供訪問,以允許黑客進入。
祝你好運。
要真正確定,您需要重建您的網站。備份你的數據庫和文件,然後從docroot中刪除所有文件,並從新的副本(從http://www.joomla.org/ Joomla,從他們的網站擴展等)重新上傳。然後你會重新上傳你的媒體文件夾和任何自定義代碼(模板等)。
如果你技術不太好,你會想安裝Joomla和擴展,然後刪除數據庫和configuration.php,然後重新上傳你的舊的configuration.php和數據庫。否則,你將不得不自己解壓擴展。
至少,我會建議上傳一個Joomla核心的新副本(在你這樣做後,你需要直接刪除'安裝'目錄)。這是非常安全的,因爲發行版不會覆蓋你的'configuration.php'。當然,如果你已經破解了Joomla核心(壞主意),那麼你需要重新應用你的自定義黑客。
查看您的安全措施也是一個不錯的主意 - 您的密碼是否需要更改?你的所有文件都需要通過Web服務器寫入嗎?
,去除各種惡意代碼的最快方式是通過ssh連接,打開你要跟網站的目錄,並運行像一個查詢:
find . '*.*' -exec replace 'HERE_IS_BAD_CODE' '' -- {} \;
可以ASLO過濾器類型的文件進行搜索中通過修改。上* .PHP或*。html的
disclamer:你應該非常非常使用ssh小心
如果你舒適的使用ssh,那麼你可以使用這個命令:
find . -type f -iname '*.php' -exec grep -l "mail(\|eval(\|sockopen\|socket_client" {} \;
它搜索包含危險代碼的php文件(從當前目錄遞歸)。 php的本地郵件功能是黑客感興趣的,但是eval和socket API功能也是如此。我每天都在服務器上運行這個命令,並且在過去發現了惡意腳本。
你看過數據庫嗎?它可能被埋在那裏。 –
我的數據庫大小是10GB。所以,它會令人毛骨悚然,通過它:(我正在尋找一些快速的伎倆。 –