我有一个 Joomla 1.0 网站在共享主机上运行,但我没有 shell 访问权限(仅可使用 FTP)。最近,我的网站被 Google 标记为恶意软件网站,我通知 .htaccess 文件已被恶意内容修改。这些指向名为“depositpeter.ru”的网站的重定向规则将添加到 .htaccess:
错误文档 400 http://depositpeter.ru/mnp/index.php
错误文档 401 http://depositpeter.ru/mnp/index.php
...
如果我清理这个 .htaccess 文件,几分钟后它将被恶意内容修改回来。
我怀疑有一些后门 PHP 和 javascript 已被注入(inject)到我们的代码库中,这些后门不断修改 .htaccess 文件。然而,我不知道这些恶意软件最初是如何登陆我的网站的。我非常确定没有 FTP 用户将这些内容上传到我的网站。病毒扫描发现用户上传的图像被注入(inject)了 PHP.ShellExec 恶意软件(我不确定这个 PHP.ShellExec 是如何工作的,以及它是否与 .htaccess 病毒有关)。
我的问题是我应该如何开始对该恶意软件进行故障排除和清理?我很无能,也没有处理网络恶意软件的经验。非常感谢任何帮助!
最佳答案
您可能无法自行修复此问题。但这里有一些你应该做的事情。
- 下载您拥有的所有 apache/php 日志 - 这些日志可以指出正在利用的安全漏洞。如果您能找到条目,请确保孔被覆盖。
- 删除指示为受感染的图片。
- 联系您的主机 - 多家托管公司拥有自动化解决方案来查找和清理常见漏洞。此外,如果您的站点被感染,同一服务器上的其他客户端很可能也会被感染。
- 相反,可能是同一服务器上的另一个客户端导致您出现此问题。
添加
.htaccess
上传目录中的文件将阻止访问除上传图像之外的任何内容。它可能看起来像这样:Order deny,allow<br/> Deny from all<br/> <FilesMatch "\.(jpe?g|bmp|png)$"><br/> Allow from all<br/> </FilesMatch>
如果您的主机没有阻止允许 php 调用系统命令的功能(您会感到惊讶)并且您知道该怎么做,则可以使用
system
通过自定义 php 脚本模拟 shell 访问。 ,exec
,popen
以及其他一些功能。我使用自己制作的脚本:https://github.com/DCoderLT/Misc_Tools/blob/master/sh/sh.php 。它相当原始,但在我需要的时候完成了工作。
future 的考虑:
- 做好备份。您的托管公司可能会提供特定时间段内的这些信息。
- 密切关注最新动态。订阅 Joomla 公告邮件列表。尽快应用这些更新。 Joomla 和 WordPress 等流行应用程序经常成为脚本小子和自动化机器人的目标。
- 进行备份。
- 确保您的托管公司已正确设置服务器,以便用户 A 无法影响用户 B 的文件(文件权限、suexec 或类似权限)。我不知道现在这种情况有多普遍,但在过去这曾经是一个常见的疏忽。
- 进行备份。
- 不要对不需要的文件和文件夹启用写入权限。
- 进行备份。
关于php - 病毒/恶意软件修改 Joomla CMS 网站上的 .htaccess,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9784682/