Joomla网站被黑客入侵,被黑网站的URL在数据库中

时间:2017-04-21 20:11:19

标签: mysql joomla joomla3.0

客户的Joomla 3.6.5网站被黑了。在整个目录上运行病毒扫描和恶意软件扫描后,没有任何内容出现。当我搜索恶意URL时,它们出现在数据库中,但在网站文件的代码中没有。我不确定如何找到黑客,或如何清除恶意URL。 

(11216,'http://xxxx.com/cache/j.js',NULL,'http://xxxx.com/philosophy-of-life-essay.html','',3,0,'2017-04-14 10:50:38','0000-00-00 00:00:00',301),
(11217,'http://xxxx.com/cache/jq.js',NULL,'http://xxxx.com/philosophy-of-life-essay.html','',3,0,'2017-04-14 10:50:38','0000-00-00 00:00:00',301),
(11218,'http://xxxx.com/cache/layout.css',NULL,'http://xxxx.com/philosophy-of-life-essay.html','',1,0,'2017-04-14 10:50:57','0000-00-00 00:00:00',301),
(11219,'http://xxxx.com/cache/ssc.css',NULL,'http://xxxx.com/philosophy-of-life-essay.html','',1,0,'2017-04-14 10:52:09','0000-00-00 00:00:00',301),
(11220,'http://xxxx.com/cache/jq.css',NULL,'http://xxxx.com/philosophy-of-life-essay.html','',1,0,'2017-04-14 10:52:09','0000-00-00 00:00:00',301)

由于恶意URL在数据库中,数据库被黑了吗?如何删除恶意URL以及如何修复黑客攻击?我知道我必须更改密码,但我对如何解开这个网站感到难过。我不知道如何清理被黑客入侵的数据库。有小费吗?谢谢!

3 个答案:

答案 0 :(得分:1)

问:由于恶意URL在数据库中,数据库被攻击了吗?

答:无法告知所提供的信息。

https://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

术语"黑客攻击"是非常广泛的。是否以欺诈手段获得了凭据?该网站被破坏了吗?数据库中是否有有效数据被盗?有效数据是否已被删除或更改?是否添加了新的欺诈性数据?

有几种方法可以发生。一种可能性是,数据库修改是通过网站的正常操作,由获取凭证(登录名和密码)以执行这些操作的恶意行为者进行的。

或者,恶意行为者可能利用网站代码中的漏洞。鉴于XSS和SQL Injection漏洞的优势以及利用这些漏洞相对容易,这是最可能的情况。 (很多网站"插件"已知易受攻击。)

或者,其他一些程序连接到数据库并执行数据库操作。

问:如何删除恶意网址?

第一步是从已知良好的备份中恢复数据库的副本。

使用已保存的可疑数据库副本,我们可以进行比较,以帮助识别已删除,更改或添加的数据。 (什么使URL"恶意"?你如何定义?我们在问题中看到的只是数据库表中的某些行。这些行如何更多"恶意&#34 ;比其他行?)

问:我如何修复黑客攻击?我知道我必须更改密码......

如果未经授权的演员获得了登录凭据,则是,您需要更改密码。并弄清楚他们如何获得凭证,并采取措施防止再次发生。

并关闭漏洞,以防止再次发生。

问:我对如何解开这个网站感到难过。我不确定如何清理黑客数据库。有什么提示吗?

从已知良好的备份中恢复数据库。

再次,缓解漏洞以防止(或使其不太可能)再次发生这种情况。跨站脚本(XSS)和SQL注入始终位于OWASP Top 10中。

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=OWASP_Top_10_for_2013

https://www.owasp.org/index.php/SQL_Injection

答案 1 :(得分:1)

您遇到的是数据库黑客,即worst kind of Joomla hacks

如果您正在运行半静态网站,则恢复备份可能是一个很好的解决方案,但是,如果您的网站每天都有新内容(或者自黑客以来有新内容),那么您无法恢复备份而不会丢失数据。在这种情况下,您需要使用MySQL的REPLACE函数将空白值替换为被黑客攻击的字符串。

修复数据库黑客攻击后,您需要在网站上运行内部扫描,以确保查找是否存在任何黑客/后门文件。完成后,您将需要卸载所有未使用的扩展,并且您需要卸载Joomla的VEL列表中的所有扩展。您拥有的任何扩展程序必须更新到最新版本。

完成上述操作后,您需要执行以下操作:

  • 更改网站的所有密码:包括Joomla密码,FTP / sFTP,数据库密码(如果可以,请避免使用FTP),cPanel密码等...

  • 将Apache对PHP文件的访问权限限制在" index.php'文件(可以在htaccess文件中完成)。

  • 如果您在共享托管中,请将网站移至VPS或专用服务器。

答案 2 :(得分:0)

这似乎很糟糕!一些提示:

  1. 请务必查看Google黑名单状态&还可以使用' fetch as google' 来检查搜索结果中是否有恶意软件。
  2. 建议查找从网站到其他域的所有外部呼叫(通常是黑客将信用卡详细信息指向他们自己的域或电子邮件)。

  3. diff命令会有很长的路要走:

    $ mkdir joomla-3.6.4

    4. $ cd joomla-3.6.4

    $ wget https://github.com/joomla/joomla-cms/releases/download/3.6.4/Joomla_3.6.4-Stable-Full_Package.tar.gz

    $ tar -zxvf Joomla_3.6.4-Stable-Full_Package.tar.gz

    $ diff -r joomla-3.6.4 ./public_html

    可以从此网址检查更多步骤:https://www.getastra.com/blog/cms/joomla-security/joomla-admin-security/

相关问题
最新问题