我有一个Joomla 1.0网站运行在一个共享主机上,我没有shell访问权限(只有FTP可用)。最近,我的网站被谷歌标记为恶意软件网站,我通知.htaccess文件被恶意内容修改。这些重定向到名为"depositpeter.ru"的网站的规则被添加到.htaccess:中
错误文档400http://depositpeter.ru/mnp/index.php
错误文档401http://depositpeter.ru/mnp/index.php…
如果我清理这个.htaccess文件,几分钟后它将被修改回恶意内容。
我怀疑有一些后门PHP和javascript被注入到我们的代码库中,它不断修改.htaccess文件。然而,我不知道这些恶意软件是如何登陆我的网站的。我很确定没有FTP用户上传到我的网站。病毒扫描发现,有一个用户上传的图像被注入了PHP.ShellExec恶意软件(我不确定这个PHP.ShellExec是如何工作的,也不确定它是否与.htaccess病毒有关)。
我的问题是,我应该如何开始排除和清理这个恶意软件?我很无知,也没有处理网络恶意软件的经验。非常感谢您的帮助!
你自己可能无法解决这个问题。但这里有一些你应该做的事情。
- 下载您拥有的任何apache/php日志——这些日志可以指出正在利用的安全漏洞。如果你能找到入口,一定要把洞盖住
- 删除指示为已感染的图像
- 联系您的主机-几家主机公司都有自动解决方案来查找和清理常见漏洞。此外,如果你的网站被感染,很可能同一服务器上的其他客户端也会被感染。
- 相反,可能是同一服务器上的另一个客户端给您带来了这个问题
-
在上传目录中添加一个
.htaccess文件,该文件将阻止对上传图像以外的任何内容的访问。它可能看起来像这样:Order deny,allow
Deny from all
<FilesMatch "'.(jpe?g|bmp|png)$">
Allow from all
</FilesMatch> -
如果您的主机没有阻止允许php调用系统命令的函数(您会感到惊讶),并且您知道该怎么做,那么您可以使用
system、exec、popen和其他一些函数,通过自定义php脚本来模拟shell访问。我使用自己制作的脚本:https://github.com/DCoderLT/Misc_Tools/blob/master/sh/sh.php。它相当原始,但在我需要的时候完成了任务。
未来考虑:
- 进行备份。你的托管公司可能会在一段时间前提供这些服务
- 密切关注最新消息。订阅Joomla公告邮件列表。尽快应用这些更新。像Joomla和WordPress这样的流行应用程序是脚本儿童和自动机器人的常见且容易攻击的目标
- 进行备份
- 请确保您的托管公司正确设置了服务器,这样用户A就不会影响用户B的文件(文件权限、suexec或类似文件)。我不知道现在这种情况有多普遍,但过去这是一种经常出现的疏忽
- 进行备份
- 不要对不需要的文件和文件夹启用写入权限
- 进行备份
您在那里运行的是什么样的PHP Framework/CMS?第一件事是在那里得到最新消息。第二个想法是删除这些目录上的写权限,PHP Shell就是放在那里的。我要做的第三件事是删除php外壳(尝试查找不属于cms/框架的文件)。
祝好运