在我的两个网站上发生类似的攻击(一个运行最新的Joomla,一个不运行)。
它通常说“被普通黑客攻击”或类似的东西。 当我检查其中一个文件时,有一个类似代码的PHP文件:
eval("?>".gzuncompress(base64_decode("eJzUvWmT4kiyKPp9... etc. 我还发现了一个奇怪的HTM文件,有很多杂乱的代码。 如果你需要我可以发布这些文件压缩的地方。
攻击总是只是一个改变的索引页面和这个奇怪的PHP文件(但这次也有这个代码的另一个PHP页面:
<?php if ($_GET['randomId'] != "Wo9QPY5euhw0bEKfNve82PW926VyluUh2HA3FGAidHDwA7h3wwZCOA2F2kva028q") { echo "Access Denied"; exit(); } // display the HTML code: echo stripslashes($_POST['wproPreviewHTML']); ?>
我已经恢复了原来的索引页面,但这真的很烦人。 我也检查我的电脑的木马,因为我读过,有人可能用特洛伊木马窃取我的FTP凭据(但这一个网站,我甚至没有使用FTP)。
帮帮我!
你有没有改变你的密码更安全的东西?
所有的软件安装在你的服务器上是最新的(即Joomla,你已经安装的任何其他应用程序)?
您是否更改了托pipe帐户的密码,并检查了没有创build其他帐户(如果有的话,在您的控制面板中)。
从黑客清理后,你确定你删除了所有修改:攻击者上传的新文件,攻击者修改的文件? 这可能会超出只是您的网站的索引页面。
首先,检查你的文件权限。 如果这种情况经常发生,请尝试在web_root的所有文件上运行755。 (需要写file upload权限的文件夹除外)。
接下来,仔细看看你的日志。 是不是joomla本土的应用程序? 我会寻找exception的URL请求。 确保您的日志在别处logging。 黑客可能会删除日志。
你知道root是否被攻破? 更改root的密码。
你使用cPanel编辑器来编辑你的文件吗? 这就是最有可能导致$ _GET ['randomID']段的原因。 ( http://www.zen-cart.com/forum/showthread.php?t=123442 )
发布该HTML文件可能会有帮助。
这就是您的网站上发生的事情: http : //blog.unmaskparasites.com/2011/05/05/thousands-of-hacked-sites-seriously-poison-google-image-search-results/
成千上万的网站被这样的黑客攻击。