DR-MTMRDによってハッキングされたJoomlaサイト
可能性のある複製:
私のサイトはハッキングされました。どうすればよいですか?
いくつかの私のjoomlaサイトがハッキングされました。これに気付いた後、私はこれらのことをしました:
- ホスティングパスワードの変更(mysql、ftp、コントロールパネル)
- Usersテーブルのjoomla adminユーザー名を「admin」に変更しました(ハッカーはユーザー名をどのように変更しましたか?)
- アップグレードされたjoomla最新ホストのphp.iniルートディレクトリが追加されました。
- CGIアクセスを無効にしました
しかし、サイトはまだハッキングされています。 index.phpファイルを確認し、元のindex.phpを書き込みますが、サイトはまだハッキングされています。
これはどのように可能ですか?
ゼロから始めます
最新のデータベースとファイルがある場合は、nuke allをコピーして、最初からやり直してください。これは、あなたが大規模な方法でハッキングされたときの最高の方法です。
良いバックアップなし
私の経験ではほとんどの場合、良いバックアップはありません。そして、あなたもそうではないと思います。 ClamAVでスキャンした場合や、次のようなサイトでオンラインスキャンした場合
- TrendMicro
- 寄生虫のマスク解除
- Sucuri -スキャンを行うための私の意見では素晴らしいサイト
汚染されたファイルを見つけて、それらを削除またはクリーンファイルで置き換えることができます。すべての隠されたシェルと他のすべてのバックドアが捕捉されることを願っています。しかし、感染はかなり悪いようです。これは防水とは言い難いです。それは私のために以前に働いたので、試してみてください!
バックドアシェル
あなたのケースでは、おそらくあなたのサーバー上に、スキャンが簡単に見つけられない名前で見落としたシェルファイルがあるようです。オンラインシェルは、コマンドでそのサーバー上の他のファイルを変更するサーバー権限を持つファイルです。シェルには、「I love you」などの名前や、あまりless辱されない名前を付けることができます。私は過去にいくつかを見つけましたが、別のクライアントを支援する必要がある場合に備えて、Intelとして使用するバックアップの一部を持っています。
クリーンインストールと汚染されたインストールを比較する
Diffまたは Meld -GUIバージョンのDiff-を使用して比較を行い、クリーンインストールと感染したインストールを比較することもできます。これはすべての標準ファイルをカバーしますが、テンプレートも拡張ファイルもカバーしません。これらは、適切なパッケージを使用して個別に行う必要があります。
データベースのクリーンアップ
ただし、これはすべてデータベースの助けにはなりません。データベースのコピーがあり、ハッキング前のデータベースのコピーがあれば、そのコピーでデータベースを置き換えます。すべてのファイルとデータベースの適切なバックアップがある場合は、とにかくクリーンスタートが最善の方法です。そうでない場合は、可能であれば、今後のコマンドラインツールを使用します。データベースコピーをダウンロードして、これらのコマンドをローカルで実行することもできます。
コマンドラインツール
別のオプション-シェルアクセスがある場合-は、難読化されたコードの基本的なスキャンを実行することです。そのために使用するいくつかのPHPスクリプトもあります。ここでは、便利な検索と破壊を行います。それらのほとんどは、次のような難読化されたコードを再表示するのに役立ちます。
<?php $_8b7b="\x63\x72\x65\x61\x74\x65\x5f\x66\x75\x6e\x63\x74\x69\x6f\x6e";$_8b7b1f="\x62\x61\x73\x65\x36\x34\x5f\x64\x65\x63\x6
- Base64オカレンスの検索: https://Gist.github.com/731099 しばしば、Base64またはASCIIを使用して不正なコードが難読化されます
- General Shellの「邪悪なハックの検索」コマンド: https://Gist.github.com/3191187
PHPスクリプト
- Base64 PHP検索スクリプト https://Gist.github.com/3191185
- ChunとWhitneyによる悪者を探してください: https://Gist.github.com/3191259