所以,我刚刚开始使用新的Joomla网站,我们添加的内容已经开始劫持网站的各个部分,并添加了我们不想要的各个地方的链接。不幸的是,我现在无法给出实时网站的链接,但我可以描述这些问题:
在页脚中,它应该说“Designed By:”以及我们从中获取模板的地方的名称,它留下了“Designed By:”但删除了模板作者的名称,而是放入两个链接(不再给劫机者点击,但这里是他们的文字),“在线专辑”和“检查whois”
当我们将鼠标悬停在网站名称上时,替代文字设置为“外汇交易主页”,这肯定不是它应该是什么。
最后,当您将鼠标悬停在主菜单中的“主页”项目上时,会在短暂延迟后显示一个下拉列表,其中包含指向“cpanel经销商托管”的链接。
现在,我想摆脱这些广告,但我不知道它们来自哪里。如果你们知道我可以搜索的一些常被劫持的文件,或者很好的调试技巧来找到它们(我已经尝试过FirePHP,但是没有取得多大成功)我非常感激。不幸的是,由于有几个人同时在网站上工作,我们不确定是什么扩展可能导致它(如果事实上是这个问题) - 但所有这些看起来都没问题,而且来自主要的Joomla扩展站点。
修改
在我们发现垃圾邮件问题开始发生之前,以下是我知道安装的模块列表:
除此之外,其他一切都是在问题开始后安装的,或者是一个已经卸载的主题(因此,我不知道它是什么)。现在的主题,我已经彻底看了,但是这个Martial Arts Theme的版本有很多修改过的图像(以及从.gif到.png的php中的一个变化)
编辑编辑:所以,仍在寻找,但似乎是旧版本的picasa2gallery(我们曾经有一个新版本,但是已经卸载它)有一个LFI漏洞。也许这就是源头。无论如何,我想我会做一个完整的擦拭,然后重新开始,真的。
答案 0 :(得分:1)
您的完整Joomla安装似乎被黑了,遵循您现在应该做的准则(重新安装和保护)
答案 1 :(得分:1)
所以,事实证明正确答案是“以上都不是”,而不是我注意到,直到我删除所有内容以消除黑客攻击。
一旦我恢复了主题,没有其他任何内容,我注意到“黑客”垃圾邮件链接已经恢复,速度太快甚至不能成为自动化脚本。
当我发现images目录中有一个.gif文件,其中包含“坏”PHP代码以包含垃圾邮件链接。具有讽刺意味的是,他们用来制作它的代码特别糟糕,所以至少我从这长期的磨难中得到了一个好笑。
故事的道德:不要从ThemZa获得主题,如果你这样做,如果你喜欢他们的样子,请准备好挖掘它们。
答案 2 :(得分:0)
检查服务器访问日志。您很可能会看到对特定组件的访问(在URI中查找com_ *),这些组件过多,或者只是不合适。
当我的网站发生这种情况时,它一直是劫持者搜索谷歌的特定组成部分(即com_virtuemart是最后一个罪魁祸首),然后他们尝试利用该组件,希望它是一个有缺陷的版本。
答案 3 :(得分:0)
如果你无法确定并确定他们闯入的洞,那么很可能重新安装Tobias P.建议是唯一安全的方法。如果某人有权访问该级别的文件,那么您就会遇到大问题。您需要确定他们进入的方式。这可能有很多原因:
有人利用Joomla安全漏洞(或插件中的漏洞)
有人通过监视客户端计算机获得了访问FTP帐户的权限
有人利用服务器软件的弱点
这很可能是有人利用Joomla洞,而且可能没有理由恐慌。但你绝对应该找出,或重新安装。也许你会在Joomla论坛或你的ISP上找到更具体的帮助。
当你在这里时,最好也改变所有的FTP密码,只是为了确保。
Google阅读良好:My site's been hacked - now what?