2

我有一个在共享主机上运行的 Joomla 1.0 网站,我没有 shell 访问权限(只有 FTP 可用)。最近我的网站被谷歌标记为恶意软件站点,我通知 .htaccess 文件被恶意内容修改。这些重定向到名为“depositpeter.ru”的网站的规则被添加到 .htaccess 中:

错误文档 400 http://depositpeter.ru/mnp/index.php
错误文档 401 http://depositpeter.ru/mnp/index.php ...

如果我清理这个 .htaccess 文件,几分钟后它会被恶意内容修改回来。

我怀疑有一些后门 PHP 和 javascript 被注入到我们的代码库中,不断修改 .htaccess 文件。但是我不知道这些恶意软件最初是如何登陆我的网站的。我很确定没有 FTP 用户将这些上传到我的网站。病毒扫描发现有一个用户上传的图像被注入了 PHP.ShellExec 恶意软件(我不确定这个 PHP.ShellExec 是如何工作的,但它是否与 .htaccess 病毒有关)。

我的问题是我应该如何开始对这个恶意软件进行故障排除和清理?我很无知,也没有处理网络恶意软件的经验。非常感谢任何帮助!

4

2 回答 2

4

自己解决此问题可能超出您的能力。但是这里有一些你应该做的事情。

  • 下载您拥有的任何 apache/php 日志 - 这些可能指向被利用的安全漏洞。如果您能找到这些条目,请确保这些孔被盖住。
  • 删除指示为受感染的图像。
  • 联系您的主机 - 几家托管公司拥有自动解决方案来查找和清理常见漏洞。此外,如果您的站点被感染,则很有可能同一服务器上的其他客户端也会被感染。
    • 相反,可能是同一台服务器上的另一个客户端导致您出现此问题。

  • 在上传目录中添加一个.htaccess文件,该文件将阻止访问上传图像以外的任何内容。它可能看起来像这样:

    Order deny,allow
    Deny from all
    <FilesMatch "\.(jpe?g|bmp|png)$">
    Allow from all
    </FilesMatch>

  • 如果您的主机没有阻止允许 php 调用系统命令的函数(您会感到惊讶)并且您知道该怎么做,您可以使用自定义 php 脚本模拟 shell 访问,使用,system和其他一些函数。我使用自己制作的脚本:https ://github.com/DCoderLT/Misc_Tools/blob/master/sh/sh.php 。它相当原始,但在我需要时完成了工作。execpopen

未来的考虑:

  • 进行备份。您的托管公司可能会在一段时间内提供这些信息。
  • 密切关注更新。订阅 Joomla 公告邮件列表。尽快应用这些更新。Joomla 和 WordPress 等流行应用程序是脚本小子和自动化机器人的常见目标。
  • 进行备份。
  • 确保您的托管公司正确设置了服务器,以便用户 A 不会影响用户 B 的文件(文件权限、suexec 或类似文件)。我不知道这些天这有多普遍,但过去它曾经是一个频繁的疏忽。
  • 进行备份。
  • 不要在不需要的文件和文件夹上启用写权限。
  • 进行备份。
于 2012-03-20T14:38:49.183 回答
0

你在那里运行什么样的 PHP 框架/CMS?首先是在那里获得更新。第二个想法是删除放置 PHP-Shell 的这些目录上的写权限。我要做的第三件事是删除 php-shell(尝试查找不属于您的 cms/framework 的文件)。

祝你好运

于 2012-03-20T10:11:00.910 回答