iT邦幫忙

2

JOOMLA Head被植入病毒

  • 分享至 

  • xImage

index.php 中Head 被人植入了一大段"script var b="red";c="........." 大約就是轉移到其他有毒的網頁

最慘是找不到哪一個文件出問題, 在index.php中根本就沒有這一段, 不知道head是哪一個文件的。

求救, 個JOOMLA都成日被人入侵, 每日都有兩三個IP幫我植入新文件, 除了人手BLACK IP有冇其他方法解決。 不過, 都要感謝他們的勤力, 我才有工作, 好矛盾。

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
player
iT邦大師 1 級 ‧ 2017-02-06 18:09:10
最佳解答

你的問題通常是發生在IIS的Windows Server上
經由遠端程式碼執行的漏洞

還有舊版的 JOOMLA
漏洞很多
如果你還堅持不升級JOOMLA的新版的話
至少該把JOOMLA的後台入口鎖在特定IP才能連
不然很容易就被外面try帳密的機器人給破解

danielp2 iT邦新手 4 級 ‧ 2017-02-08 15:03:08 檢舉

JOOMLA半年前前已經定期更新, 但可能後門一直存在, 所以問題無法解決。

見步行步, 不時見到有人幫我網頁加新檔案, administrator用限了.htaccess IP 但成果很有限, 不時都被人入侵成功。

1
zyman2008
iT邦大師 6 級 ‧ 2017-02-06 23:50:32

這種因為舊版code本身的漏洞,通常已經被埋了一堆後門程式了. 所以要清很麻煩.
不上patch version再怎麼清也是沒用,清完馬上又被打了.

如果不上patch, 有看到一賣Cloud WAF的,買這種服務也是一種解決方法.(當然要先有預算啦)
如果沒預算,他有一篇文,教你怎麼做苦力,手動檢查與清除.(順便練功吧)
https://sucuri.net/guides/how-to-clean-hacked-joomla

danielp2 iT邦新手 4 級 ‧ 2017-02-08 15:05:08 檢舉

感謝感謝, 做苦力都是好事, 起碼, 有工作做, 我慢慢研究下。

2
bizpro
iT邦大師 1 級 ‧ 2017-02-06 23:51:42

最慘是找不到哪一個文件出問題, 在index.php中根本就沒有這一段, 不知道head是哪一個文件的。

任何一個Joomla!元件都可以取得HTML文件來動態渲染(rendering)head:
$document = JFactory::getDocument();
可以加入任意的HTML代碼, 如Javascript, CSS, Tag,...

$document->addStyleSheet('/css/style.css');
$document->addScript('/js/main.js', 'text/javascript');
$document->addCustomTag('<script....');

然而, 您敘述的植入攻擊並非針對Joomla!, 只是您的系統已可被輕易入侵, 您必須監看系統紀錄, 另外, 資料庫與資料庫管理系統也可能被入侵. 您應無法主動防堵入侵了, 唯一的建議是: 更新/更換/防禦系統:

系統建議: Nginx, Linux(Ubuntu LTS), MariaDB, PHP7.0.x, Joomla!3.6.5+
防禦建議: iptables/netfilter, fail2ban, IPSet,Nginx防禦機制, HTTPS. Joomla!防火牆

看更多先前的回應...收起先前的回應...
danielp2 iT邦新手 4 級 ‧ 2017-02-08 15:09:04 檢舉

太多檔案,一個連一個,好似蜘蛛網/images/emoticon/emoticon06.gif

可惜, 係寄存伺服器, 無得選擇系統之類。

kobe8756 iT邦新手 4 級 ‧ 2017-02-08 17:33:36 檢舉

寄存伺服器是指虛擬主機還是主機代管嗎?
如果是,要不要檢查一下是不是你權限設太大了!
除了joomla要求的資料夾和檔案外,其它的資料夾或檔案也設成777了?
另你可參考下列網站(中國國家安全訊息漏洞庫)
http://www.cnnvd.org.cn/vulnerability/index/vulcode2/joomla/vulcode/joomla/cnnvdid//fbsjs//fbsje/

danielp2 iT邦新手 4 級 ‧ 2017-02-10 15:32:30 檢舉

文件是0644, 文件夾就是0755。
用其他在線掃毒都指向,index.php, 明明個文件就好少, 不知道病毒真身在哪。

kobe8756 iT邦新手 4 級 ‧ 2017-02-12 19:18:42 檢舉

網站被插入病毒,不一定會是在檔案裡,如果確認確認檔案權限都正常...
另一個最大的可能就是資料庫被sql injection了...
可以安裝phpmyadmin來檢查資料庫是否被插入奇怪的東西!!!
而這部份,通常都是程式本身的漏洞造成...
除了JOOMLA要更新外,其它外掛也要更新!!

keyword:"joomla","sql injection"

0
zuyan
iT邦好手 1 級 ‧ 2017-02-07 22:00:07

我之前的經驗是用 AMP 架在Windows 上 ,平台有洞就三天兩頭要清...
之後改用 Linux 及更新Joomla版本才解決掉這個問題..

danielp2 iT邦新手 4 級 ‧ 2017-02-08 15:09:26 檢舉

可惜, 係寄存伺服器, 無得選擇系統之類。/images/emoticon/emoticon02.gif

0
desring
iT邦見習生 ‧ 2017-02-08 09:46:59

可以參考以下文章,也有線上掃描網站..
原文: https://www.joomshaper.com/blog/my-joomla-site-was-hacked-what-to-do
中文:http://des13.com/joomlatech/joomla-file/509-my-joomla-site-was-hacked-what-to-do

danielp2 iT邦新手 4 級 ‧ 2017-02-08 15:12:11 檢舉

感謝, 這文章有參考, 但情況都是兩三被人植入一次, 感覺好被動。

線上掃描網站, 可以找到病毒, 但無法找到哪一個文件有病毒, JOOMLA就一head body js都分成幾部分, 又不清楚放哪里。 好頭痛/images/emoticon/emoticon10.gif

我要發表回答

立即登入回答