2

シェル アクセス権がない共有ホストで Joomla 1.0 Web サイトを実行しています (FTP のみ利用可能)。最近、私の Web サイトが Google によってマルウェア サイトとしてマークされ、.htaccess ファイルが悪意のあるコンテンツで変更されていることを通知します。「depositpeter.ru」という Web サイトへのこれらのリダイレクト ルールは、.htaccess に追加されます。

ErrorDocument 400 http://depositpeter.ru/mnp/index.php
ErrorDocument 401 http://depositpeter.ru/mnp/index.php ...

この .htaccess ファイルをクリーンアップすると、数分後に悪意のあるコンテンツで元に戻されます。

バックドアの PHP が存在し、.htaccess ファイルを常に変更する JavaScript がコードベースに挿入されていると思われます。しかし、そもそもこれらのマルウェアがどのようにして私のサイトに侵入したのかはわかりません。FTP ユーザーがそれらを私のサイトにアップロードしていないことは確かです。ウイルス スキャンの結果、ユーザーがアップロードした画像に PHP.ShellExec マルウェアが挿入されていることがわかりました (この PHP.ShellExec がどのように機能するのか、.htaccess ウイルスに関連しているかどうかはわかりません)。

私の質問は、このマルウェアのトラブルシューティングとクリーニングをどのように開始すればよいですか? 私は無知で、Web マルウェアを扱った経験がほとんどありません。どんな助けでも大歓迎です!

4

2 に答える 2

4

これを自分で修正するのはあなたの力を超えているかもしれません。しかし、ここであなたがしなければならないことがいくつかあります。

  • 持っている apache/php ログをダウンロードします。これらは、悪用されているセキュリティ ホールを示している可能性があります。エントリが見つかった場合は、穴が覆われていることを確認してください。
  • 感染していると示されている画像を削除します。
  • ホストに連絡してください。いくつかのホスティング会社は、一般的な脆弱性を見つけてクリーンアップするための自動化されたソリューションを提供しています。また、サイトが感染している場合、同じサーバー上の他のクライアントも感染している可能性があります。
    • 逆に、同じサーバー上の別のクライアントがこの問題を引き起こしている可能性があります。

  • .htaccessアップロードされた画像以外へのアクセスを防止するファイルをアップロード ディレクトリに追加します。次のようになります。

    Order deny,allow
    Deny from all
    <FilesMatch "\.(jpe?g|bmp|png)$">
    Allow from all
    </FilesMatch>

  • ホストが、php がシステム コマンドを呼び出すことを許可する機能をブロックしておらず (驚かれることでしょう)、何をすべきかわかっている場合は、、、、およびその他の機能を使用して、カスタム php スクリプトでシェル アクセスを模倣できますsystem。自分で作成したスクリプトを使用します: https://github.com/DCoderLT/Misc_Tools/blob/master/sh/sh.php。かなり原始的ですが、必要なときに仕事をやり遂げました。execpopen

今後の考慮事項:

  • バックアップを作成します。ホスティング会社は、これらを一定期間さかのぼって提供する場合があります。
  • 最新情報に注目してください。Joomla アナウンスメント メーリング リストに登録します。これらのアップデートをできるだけ早く適用してください。Joomla や WordPress などの人気のあるアプリケーションは、スクリプト キディや自動化されたボットの標的になりやすいことがよくあります。
  • バックアップを作成します。
  • ユーザー A がユーザー B のファイルに影響を与えないように、ホスティング会社がサーバーを適切にセットアップしていることを確認してください (ファイル許可、suexec など)。これが最近どの程度一般的かはわかりませんが、以前は頻繁に見落とされていました。
  • バックアップを作成します。
  • 必要のないファイルやフォルダーに対して書き込み権限を有効のままにしないでください。
  • バックアップを作成します。
于 2012-03-20T14:38:49.183 に答える
0

そこではどのような PHP フレームワーク/CMS を実行していますか? まず、そこでアップデートを取得することです。2 番目のアイデアは、PHP シェルが配置されるこれらのディレクトリの書き込み権を削除することです。3 番目に行うことは、php-shell を削除することです (cms/framework に属していないファイルを見つけてください)。

幸運を

于 2012-03-20T10:11:00.910 に答える