本日、Joomla の Web サイトが薬局のトロイの木馬によってハッキングされていることを発見しました。
ほとんどのユーザーが私たちのウェブサイトにアクセスしたときにそれを見ないため、発見するのは困難でした.
1 人のユーザーが約 2 週間前に、当サイトにバイアグラ/薬局のスパムが含まれていると報告しました。調査しましたが、何も見つかりませんでした。結論は、ユーザーのコンピュータが感染したというものでした。
昨日、別のユーザーからこの問題が報告されたため、再度調査を開始しました。
1 時間後、サイトが実際に感染していることを発見しました。
Web ブラウザーでこの Web ページにアクセスすると、問題がなければ次のようになります。
http://www.outertech.com/en/bookmark-manager
しかし、この Web ページを Google 翻訳すると、感染が表示されます (バイアグラとシアリスのリンク):
curl を使用しても同じことが起こります。
curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://www.outertech.com/en/bookmark-manager
次のステップとして、Web サイトのバックアップ (Akeeba) を作成し、さらに調査するためにローカルの xampp インストールに転送しました。
Web サイトのローカル xampp インストールにも同じ問題があるため、実際に Joomla インストールが感染しています。
の訪問
http://localhost/en/bookmark-manager
問題はありませんが、
curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://localhost/en/bookmark-manager
バイアグラのリンクが含まれています。
私は(主にphp)ファイルを何時間も探し、多くのgrepなどを行いましたが、疑わしいものは何も見つかりません.
Virus Total と Google Webmaster は、サイトがクリーンであると報告しています。
myjoomla.com で監査を行いましたが、マルウェアは見つかりませんでした。
誰かが私を正しい方向に向けることができれば、本当に感謝しています。
このハックのために Joomla インストール内のどこを見ればよいですか?