0

我们今天发现我们的 Joomla 网站已被药房木马入侵。

很难发现,因为大多数用户在访问我们的网站时看不到它。

大约 2 周前,一位用户报告说我们的网站包含伟哥/药房垃圾邮件。我们已经调查过了,但一无所获。结论是用户的计算机被感染了。

昨天另一个用户报告了这个问题,所以我又开始调查了。

一小时后,我发现该站点确实被感染了。

当我用我的网络浏览器访问这个网页时,一切正常:

http://www.outertech.com/en/bookmark-manager

但是,如果我对该网页进行谷歌翻译,我会看到感染(伟哥和 cialis 链接):

http://translate.google.com/translate?sl=en&tl=de&js=n&prev=_t&hl=de&ie=UTF-8&u=http%3A%2F%2Fwww.outertech.com%2Fen%2Fbookmark-manager

如果我使用 curl,也会发生同样的情况:

curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://www.outertech.com/en/bookmark-manager

作为下一步,我对网站进行了备份(Akeeba)并将其转移到本地 xampp 安装以进行进一步调查。

与网站本地安装的xampp也有同样的问题,所以确实是Joomla安装被感染了。

访问

http://localhost/en/bookmark-manager

显示没有问题,但

curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://localhost/en/bookmark-manager

包含伟哥链接。

我已经在(主要是 php)文件中寻找了几个小时,做了很多 greps 等,但我找不到任何可疑的东西。

Virus Total 和 Google Webmaster 报告该站点是干净的。

我对 myjoomla.com 进行了审核,但没有发现恶意软件。

如果有人能指出我正确的方向,我将不胜感激。

在哪里查看我的 Joomla 安装以了解此 hack?

4

4 回答 4

1

我已将未感染的旧备份还原到本地 Xampp 安装。备份当前站点并安装到另一个本地 Xampp 实例中。对两次安装之间的所有文件进行了比较,并在 application.php 文件中找到了破解(它只有一行)。删除了这条线,黑客就死了。我仍然不知道该网站是如何被感染的(所有插件都是最新版本)。作为安全措施,我已经更改了密码,并每周监控一次这次黑客攻击。

编辑:myJoomla.com 报告确实找到了黑客,我没有仔细阅读报告。

于 2013-11-03T09:53:01.553 回答
0

我们最近恢复了一个 Joomla 1.5 站点并将其迁移到 2.5,并且在模板文件(index.php以及模板目录中的各种覆盖文件html/)中发现了 hack。

令人惊讶的是,我们还发现大约十分之一的文章被感染了。即,当我们搜索jos_content表格时,我们发现该fulltext列中嵌入了 Javascript。所以,我建议也去那里看看。

于 2013-08-29T03:36:44.193 回答
0

你最好的选择是使用像myJoomla这样的工具,因为它是专门为 Joomla 的这类事情而创建的。

于 2013-08-30T19:27:47.297 回答
0

我也有这个问题,如果我正在访问一个子页面,主页会改为加载并显示很多药房乱码。但这仅在我打开 Firefox Firebug 时发生。结果在我的模板中 /html 下有一个不应该存在的 mysql.php 文件。幸运的是,我创建了这个模板,所以我删除了服务器上的模板并上传了我的原始版本,问题就消失了。希望这可以帮助。

于 2013-10-27T18:56:31.103 回答