【发布时间】:2012-03-23 19:31:03
【问题描述】:
我发现我有与这里提到的类似的攻击
文件不断被重新创建,我看不到它的来源。我怎样才能解决这个问题?有类似经历的人吗?我正在运行 joomla 1.5.25
如何跟踪包含此文件的脚本?如何保护网站?
【问题讨论】:
-
检查此实用程序是否有用:premprakashgupta.hubpages.com/hub/…
【发布时间】:2012-03-23 19:31:03
【问题描述】:
始终建议您将 .htaccess 文件的权限保持为只读。
chmod 0555 .htaccess
但是关于一次又一次地创建黑客,可能有很多原因。就像未正确配置主机一样,在共享主机上,为不同域运行的脚本可以访问您自己域的脚本。
还要检查您允许上传什么样的文件,无论是管理员还是前端。确保它不只是任何文件上传是允许的。不应允许上传 PHP 等可执行文件。
【讨论】:
-
黑客在另一台服务器上,我们搬到了新的服务器上。它仍在这个上被复制。 .htaccess 即使在 0555 上仍然会发生变化。它的运行方式太奇怪了。
-
如何限制文件上传?我要在 .htaccess 上执行此操作吗?我放在 .htaccess 上的几乎所有东西都被覆盖了。
-
PHP文件上传需要普通File-Upload Methods限制。或者,如果您的 joomla 中有任何模块/组件/插件支持文件上传,请检查它是否仅上传有限类型的文件。而文件上传与.htaccess无关
哎呀,这不是一个好情况。我已经看到这种情况发生了几次,而且通常情况下,解决方案是从干净的 Joomla 安装重新创建网站,复制数据并重新安装组件。
但是首先检查权限是否正常(没有 666、777 等),并且一定要检查 VEL,看看你的任何扩展是否有已知漏洞http://docs.joomla.org/Vulnerable_Extensions_List
您还可以查看 Inj3ctor 数据库 http://www.1337day.com/ 。 像这样的大多数黑客攻击都是通过过期的扩展、开放权限或 linuxeasy 提到的配置不当的主机而发生的。
强烈建议在网站上安装 jhackguard 或 eyesite。 Eyesite 将监控您的文件并在发生更改时通知您 -http://extensions.lesarbresdesign.info/extensions/eyesite
【讨论】:
-
感谢 eyesite 的名称。我一直在寻找这个组件。让我们试试看它是如何工作的。在另一个网站上使用过一次。即使在全新安装后,文件也会重新创建。我将更新一个新实例,然后使用提到的组件进行部署并查看。它的丑陋!
-
Eyesite 似乎不会限制更改,直到我按接受。我需要一些东西来“禁用”或锁定文件,直到我按下接受。你有什么想法吗?