Joomla 被黑并重定向到 dndelectric 网站答案

【问题标题】：Joomla Hacked and redirecting to dndelectric websiteJoomla 被黑并重定向到 dndelectric 网站
【发布时间】：2011-11-23 13:22:05
【问题描述】：

我已经在我的所有文件中搜索了可能会重定向或将此恶意软件放入我的网站的内容，但无济于事。以前有过这种情况的人吗？它分布在我托管的多个站点上。与他们共同的组件是 jevents，但即使是代码也没有改变。

有什么方法可以阻止来自 .htaccess 的这些请求？

【问题讨论】：

标签： joomla

【解决方案1】：

您确实需要让您的网站离线 - 实际上从服务器中删除文件并确定这是什么类型的黑客攻击。

首先，虽然我建议您关闭浏览器中的 javascript 并访问您的页面 - 您仍然会被重定向吗？

如果不是 - 那么问题是：

a) 已将 javascript 文件添加到您的站点 - 或已编辑现有 javascript 文件。检查页面中加载的所有 .js 文件。

b) 一个 sql 注入已将 javascript 直接添加到您的文章中（可能是每篇文章

假设您在 javascript 关闭时被重定向 - 那么您正在查看： a) 一个已编辑的 .htaccess 文件将您重定向到其他地方 b) 一个已编辑（或“包含”）的 php 文件设置标题并将您带到其他地方。

您的网站中是否有任何附加组件在此处列出： http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=joomla&filter_exploit_text=&filter_author=&filter_platform=0&filter_type=0&filter_lang_id=0&filter_port=&filter_osvdb=&filter_cve=

您需要知道是只有您的站点被入侵还是服务器上的其他站点，甚至服务器本身是否已被接管，这是您的主机的问题。从备份重建后立即再次感染可能意味着： a) 已设置 cron 作业以在设定的时间段内重新感染您 b) 服务器上的另一个帐户被感染，并正在寻求重新感染其他人 c) 您的站点之前曾被入侵（站点内的文件被丢弃），但这些文件处于休眠状态，等待个人或僵尸网络连接并获得控制权。 d) 或者服务器完全被入侵，黑客只是重新连接以重新感染

您可以采取一些步骤 - 但坦率地说，如果您需要询问，这可能表明您没有能力在没有专家帮助的情况下处理该问题。

您可以对文件进行 grep 查找可能的文件模式 c99、r57、web shell、eval(base64decode(,等等。
您可以扫描具有最近创建日期或最近修改日期/时间的文件

在过去 x 天（本例中为 1 天）内更改的文件

find . -mtime -1

文件在两个日期之间更改

find . -type f -newermt "2010-01-01" ! -newermt "2010-06-01"

您应该扫描日志文件中的可疑活动
您可以下载文件并让您的防病毒程序扫描它们 - 这可以为您提供一个开始的地方（不要让它删除文件，尽管它们的内容可以提供更多线索）。
您应该阻止来自已知自动化/脚本化用户代理（wget、libwww 等）的访问

总而言之，尽管您可以花费数天时间与此作斗争，但不能保证一定会成功。我的建议是向 Joomla 安全专家寻求帮助。

【讨论】：

我已经确定了正在发生的事情，但仍然不知道它是如何发生的。我的 .htaccess 文件不断变化。 .htaccess 我的意思是在我的网站的根文件夹中创建一个。不在单个文件夹中。我已经删除并创建了一个新的，将权限更改为 644，但仍会创建新的。我该怎么办？
是否有linux命令来检查文件修改者？重定向 url 也会随着时间而变化。它不是恒定的，因此这意味着有一个脚本正在更改 .htaccess。
我以前见过这个（并修复它），有一个脚本在你的服务器上执行，它将恶意代码推送到你的 .htaccess 文件中。通常该脚本包含在某个地方，插入到一个 php 文件中，它通常会调用一些执行代码并将重定向内容插入到您的 .htaccess 中 - 最好的办法是追踪正在执行的脚本。获取 Firebug，使用 NoScript 并开始使用它！
我可以看到 php 文件，问题是我看不到它们的创建内容和方式。即使我删除它们，它们也会在一两天后重新创建。
find 命令对我有用。您可以添加更多 grep -v "some-strings-to-filter" 以从搜索中排除某些文件夹。

【解决方案2】：

对于您的下一次安装，您可能还需要考虑安装基于主机的入侵检测系统OSSEC。它提供了多种安全功能，包括文件完整性检查，可以检测到您的 .htaccess 文件被篡改。 OSSEC 是免费和开源的。

【讨论】：

【解决方案3】：

您可能必须真正比较目录，如果可以的话，您使用的扩展程序的原始安装。检查目录权限 - 如果您看到具有 777 或异常高权限的内容，那么这可能是问题可能源于何处的良好开端。检查错误日志，它可能指向丢失的内容或已更改的内容，现在正在引发错误。

您想尝试找出问题/恶意软件/病毒，因为它将帮助您完成下一部分。

找到您被黑客入侵之前的最后一个备份，这是一个很好的有效副本，然后从那里开始。最好的办法是完全摆脱当前站点并从备份中恢复（完全）——假设备份不包含病毒/恶意软件。

有时只会在现有代码行中添加一两行代码导致重定向 - 这些代码很难追踪和识别，但如果您比较大小等，您可以做到这一点。只是费时。我希望这些信息对您有所帮助 - 祝您好运。

此外，如果它正在传播，听起来您的整个服务器都会受到损害 - 不要对多个站点使用相同的密码或默认用户名 (admin)。始终更改密码和用户名。如果您将用户名默认设置为“admin”，黑客已经发现了 50% 的登录信息。通过更改用户名使他们变得艰难。提醒您的主机您已被黑客入侵 - 他们会在这些情况下提供帮助，并且可以防止它传播到您的帐户之外的任何地方。更改该主机的密码，更改每个站点的密码（最好在清除恶意软件/病毒之后）。

【讨论】：

它似乎正在改变，因为它现在正在获取一些其他文件。太奇怪了！！我想我将不得不从头开始重新做大部分网站。
只要您有有效的备份，您就不需要这样做。
如果您不进行备份 - 那么您应该这样做。 Akeeba Backup 是免费的，几乎是可用的 Joomla 网站的最佳备份解决方案。从字面上看，一键式备份可以照顾您的数据库和整个站点。在任何 Joomla 网站上拥有它是绝对必要的，就像这样的例子。确保并让您的主人也知道 - 很多时候他们在这些情况下非常有帮助。祝你好运！
我使用akeeba备份。我有几个。有趣的是，当我从备份中恢复时，它也被“核弹”了。问题可能出在我的主机'Dreamhost' 已经通知他们了。
与 Akeeba 一起复活会使网站恢复到以前的状态，但可能是您几个月前被黑客入侵了，但只是被利用了。或者，黑客可能正在利用您网站中的漏洞（在旧的 Joomla 或扩展等中）。这将是微不足道的重新利用。它可能是一个 cronjob，它可能是其他人的帐户被利用，可能是一个丢弃的脚本已经编译并安装了一个新的二进制文件）它可能几乎是任何东西。将一个被利用或容易被利用的网站留在网络上这么长时间对每个人都是不利的。将其取下并获得专家帮助。

【解决方案4】：

我在共享主机帐户上遇到了同样的 .htaccess 黑客攻击。我有 5 个网站运行 Joomla！ v 1.5 2.x。经过数小时的权限试验和所有其他可以想象的阻止恶意 .htaccess 文件重新生成的方法后，我发现我的两个 Joomla!安装在 'tmp' 目录 [joomla_root/tmp] 中有神秘的 .php 文件。一个文件名为“jos_AjnJA.php”，另一个文件名为“j.php”。我将这两个文件的权限更改为 000，然后再次将我原来的 .htaccess 文件恢复到它们各自的文件夹。快！ .htaccess 文件最终没有像以前一样在几分钟内被恶意重写。 24 小时后，我所有的 Joomla！安装。

我怎么强调都不为过：我确信这个漏洞有多种变体，但请帮自己一个大忙，首先检查 Joomla 上的所有 tmp 文件夹！安装任何可疑的 .php 文件！

【讨论】：