0

本日、Joomla の Web サイトが薬局のトロイの木馬によってハッキングされていることを発見しました。

ほとんどのユーザーが私たちのウェブサイトにアクセスしたときにそれを見ないため、発見するのは困難でした.

1 人のユーザーが約 2 週間前に、当サイトにバイアグラ/薬局のスパムが含まれていると報告しました。調査しましたが、何も見つかりませんでした。結論は、ユーザーのコンピュータが感染したというものでした。

昨日、別のユーザーからこの問題が報告されたため、再度調査を開始しました。

1 時間後、サイトが実際に感染していることを発見しました。

Web ブラウザーでこの Web ページにアクセスすると、問題がなければ次のようになります。

http://www.outertech.com/en/bookmark-manager

しかし、この Web ページを Google 翻訳すると、感染が表示されます (バイアグラとシアリスのリンク):

http://translate.google.com/translate?sl=en&tl=de&js=n&prev=_t&hl=de&ie=UTF-8&u=http%3A%2F%2Fwww.outertech.com%2Fen%2Fブックマーク マネージャー

curl を使用しても同じことが起こります。

curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://www.outertech.com/en/bookmark-manager

次のステップとして、Web サイトのバックアップ (Akeeba) を作成し、さらに調査するためにローカルの xampp インストールに転送しました。

Web サイトのローカル xampp インストールにも同じ問題があるため、実際に Joomla インストールが感染しています。

の訪問

http://localhost/en/bookmark-manager

問題はありませんが、

curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://localhost/en/bookmark-manager

バイアグラのリンクが含まれています。

私は(主にphp)ファイルを何時間も探し、多くのgrepなどを行いましたが、疑わしいものは何も見つかりません.

Virus Total と Google Webmaster は、サイトがクリーンであると報告しています。

myjoomla.com で監査を行いましたが、マルウェアは見つかりませんでした。

誰かが私を正しい方向に向けることができれば、本当に感謝しています。

このハックのために Joomla インストール内のどこを見ればよいですか?

4

4 に答える 4

1

ローカルの Xampp インストールに感染していない古いバックアップを復元しました。現在のサイトのバックアップを作成し、インスタンス化された別のローカル Xampp にインストールしました。2 つのインストール間のすべてのファイルの差分を作成し、application.php ファイルにハックが見つかりました (1 行だけでした)。行を削除すると、ハックが死亡しました。サイトがどのように感染したかはまだわかりません (すべてのアドオンは最新バージョンです)。セキュリティ対策としてパスワードを変更し、このハッキングを週に 1 回監視しています。

編集: myJoomla.com レポートは実際にハッキングを発見しましたが、レポートを十分に注意深く読んでいませんでした。

于 2013-11-03T09:53:01.553 に答える
0

最善の策は、myJoomlaのようなツールを使用することです。これは、Joomla 用にこの種のことを行うために特別に作成されたものです。

于 2013-08-30T19:27:47.297 に答える
0

最近、Joomla 1.5 サイトを回復して 2.5 に移行したところ、テンプレート ファイル (およびテンプレートディレクトリindex.php内のさまざまな上書きファイル) にハッキングが見つかりました。html/

驚くべきことに、記事の約 10 分の 1 が感染していることがわかりました。つまり、jos_contentテーブルを検索すると、fulltext列に Javascript が埋め込まれていることがわかりました。だから、私もそこを見ることをお勧めします。

于 2013-08-29T03:36:44.193 に答える