病毒/恶意软件在 Joomla CMS 网站上修改 .htaccess

Question

我有一个 Joomla 1.0 网站在我没有 shell 访问权限的共享主机上运行（只有 FTP 可用）。最近我的网站被谷歌标记为恶意软件网站，我通知 .htaccess 文件被恶意内容修改。这些重定向到名为“depositpeter.ru”的网站的规则被添加到 .htaccess:

错误文档 400 http://depositpeter.ru/mnp/index.php
错误文档 401 http://depositpeter.ru/mnp/index.php ...

如果我清理这个 .htaccess 文件，它会在几分钟后被恶意内容修改回来。

我怀疑有一些后门 PHP 和 javascript 被注入到我们的代码库中，不断修改 .htaccess 文件。但是，我不知道这些恶意软件最初是如何登陆我的网站的。我很确定没有 FTP 用户将这些上传到我的网站。病毒扫描发现有一个用户上传的图像被注入了 PHP.ShellExec 恶意软件（我不确定这个 PHP.ShellExec 是如何工作的，但它是否与 .htaccess 病毒有关）。

我的问题是我应该如何开始对这个恶意软件进行故障排除和清理？我很无知，也没有处理网络恶意软件的经验。非常感谢任何帮助！

Answer 1

您自己解决此问题可能超出您的能力范围。但这里有一些你应该做的事情。

• 下载您拥有的任何 apache/php 日志 - 这些可能指向被利用的安全漏洞。如果您能找到条目，请确保这些孔已被盖住。
• 删除指示为受感染的图像。
• 联系您的主机 - 几家主机公司都有自动解决方案来查找和清理常见漏洞。此外，如果您的站点被感染，则很有可能同一服务器上的其他客户端也会被感染。
  • 相反，可能是同一服务器上的另一个客户端导致您出现此问题。

• 在上传目录中添加一个.htaccess 文件，该文件将阻止访问上传图片以外的任何内容。它可能看起来像这样：

  Order deny,allow
Deny from all
<FilesMatch "\.(jpe?g|bmp|png)$">
Allow from all
</FilesMatch>

• 如果您的主机没有阻止允许 php 调用系统命令的函数（您会感到惊讶）并且您知道该怎么做，您可以使用 system 使用自定义 php 脚本模拟 shell 访问， exec、popen 和其他一些功能。我使用自己制作的脚本：https://github.com/DCoderLT/Misc_Tools/blob/master/sh/sh.php。它相当原始，但在我需要时完成了工作。

未来考虑：

• 进行备份。您的托管公司可能会在一段时间内提供这些信息。
• 密切关注更新。订阅 Joomla 公告邮件列表。尽快应用这些更新。 Joomla 和 WordPress 等流行应用程序是脚本小子和自动机器人的常见目标。
• 进行备份。
• 确保您的托管公司正确设置了服务器，这样用户 A 就不会影响用户 B 的文件（文件权限、suexec 或类似文件）。我不知道现在这种情况有多普遍，但过去经常出现这种疏忽。
• 进行备份。
• 不要对不需要的文件和文件夹启用写权限。
• 进行备份。

Answer 2

您在那里运行哪种 PHP 框架/CMS？首先是在那里获得更新。第二个想法是删除放置 PHP-Shell 的这些目录上的写权限。我要做的第三件事是删除 php-shell（尝试查找不属于您的 cms/framework 的文件）。

祝你好运