Intereting Posts

Вирус / вредоносная программа, модифицирующая .htaccess на веб-сайте Joomla CMS

У меня есть сайт Joomla 1.0, работающий на общем хосте, у которого нет доступа к оболочке (доступен только FTP). Недавно мой сайт был помечен Google как вредоносный сайт, и я уведомляю, что файл .htaccess модифицирован вредоносным содержимым. Это правило перенаправления на веб-сайт под названием «depositpeter.ru» добавляется в .htaccess:

ErrorDocument 400 http://depositpeter.ru/mnp/index.php
ErrorDocument 401 http://depositpeter.ru/mnp/index.php …

Если я очищу этот файл .htaccess, через несколько минут он будет изменен с помощью вредоносного содержимого.

Я подозреваю, что есть некоторые backdoor PHP, и javascript был введен в нашу базу кода, которая постоянно изменяет файл .htaccess. Однако я не знаю, как эти вредоносные программы попали на мой сайт в первую очередь. Я уверен, что пользователи FTP не загрузили их на мой сайт. При проверке вируса было обнаружено, что загружено пользовательское изображение с вредоносным ПО PHP.ShellExec (я не уверен, как работает этот PHP.ShellExec, и если он связан с вирусом .htaccess, хотя).

Мой вопрос в том, как я должен начать устранение неполадок и очистку этого вредоносного ПО? Я довольно невежественный и имею небольшой опыт работы с вредоносным ПО. Любая помощь очень ценится!

    Возможно, вам не по силам исправить это самостоятельно. Но вот некоторые вещи, которые вы должны сделать.

    • Загрузите все имеющиеся у вас журналы apache / php – они могут указывать на используемые дыры безопасности. Если вы можете найти записи, убедитесь, что отверстия закрыты.
    • Удалите изображение, указанное как зараженное.
    • Обратитесь к своему хосту: у нескольких хостинговых компаний есть автоматизированные решения для поиска и устранения распространенных уязвимостей. Кроме того, если ваш сайт заражен, есть вероятность, другие клиенты на том же сервере тоже.
      • И наоборот, это может быть другой клиент на том же сервере, который вызывает эту проблему для вас.
    • Добавьте файл .htaccess в каталог uploads, который будет препятствовать доступу к чему-либо, кроме загруженных изображений. Это может выглядеть примерно так:

      Order deny,allow
      Deny from all
      <FilesMatch "\.(jpe?g|bmp|png)$">
      Allow from all
      </FilesMatch>

    • Если ваш хост не заблокировал функции, которые позволяют php вызывать системные команды (вы будете удивлены), и вы знаете, что делать, вы можете имитировать доступ к оболочке с помощью специального скрипта php с использованием system , exec , popen и некоторых других функций. Я использую сценарий, который я сделал сам: https://github.com/DCoderLT/Misc_Tools/blob/master/sh/sh.php . Это довольно примитивно, но он выполнил свою работу, когда мне это нужно.

    Будущие соображения:

    • Сделайте резервные копии. Ваша хостинговая компания может обеспечить их возврат к определенному периоду времени.
    • Следите за обновлениями. Подпишитесь на список рассылки объявлений Joomla. Применяйте эти обновления так быстро, как только сможете. Популярные приложения, такие как Joomla и WordPress, являются частым и легким местом для сценаристов и автоматических ботов.
    • Сделайте резервные копии.
    • Убедитесь, что ваша хостинговая компания настроена на сервер правильно, так что пользователь A не может влиять на файлы пользователя B (разрешения файлов, suexec или аналогичные). Я не знаю, насколько это распространено в наши дни, но в прошлом это было частое наблюдение.
    • Сделайте резервные копии.
    • Не оставляйте разрешения на запись в файлах и папках, которые ему не нужны.
    • Сделайте резервные копии.

    Какой PHP-Framework / CMS вы работаете там? Первым делом было бы получить там обновление. Вторая идея заключалась бы в том, чтобы удалить права на запись в этих каталогах, где ставится PHP-Shell. Третье, что я сделал бы, это удалить php-shell (попытаться найти файлы, которые не принадлежат вашей cms / framework).

    удачи