1. ホーム
  2. 質問と答え
  3. Joomla CMS Webサイトの.htaccessを変更しています

Joomla CMS Webサイトの.htaccessを変更しています

2012-03-20 7 views
2

シェルアクセス権がない共有ホスト上でJoomla 1.0 Webサイトを実行しています(FTPのみ利用可能)。最近私のウェブサイトはGoogleによってマルウェアサイトとしてマークされており、.htaccessファイルが悪意のあるコンテンツで修正されたことを通知します。これらのリダイレクトは、.htaccessファイルに追加された 'depositpeter.ru' と呼ばれるウェブサイトにルール:Joomla CMS Webサイトの.htaccessを変更しています

のErrorDocument 400 http://depositpeter.ru/mnp/index.php
のErrorDocument 401 http://depositpeter.ru/mnp/index.php ...

私は、この.htaccessファイルをきれいにした場合、それはなります数分後に悪質なコンテンツで修正されました。

バックドアPHPがあり、javascriptが.htaccessファイルを変更するコードベースに注入されている可能性があります。しかし、私はこれらのマルウェアが最初に私のサイトにどのように上陸したのか分かりません。私はかなりのFTPユーザーが自分のサイトにそれらをアップロードしていないことを確信しています。ウイルススキャンでは、PHP.ShellExecマルウェアでユーザーがアップロードしたイメージがあることが判明しました(このPHP.ShellExecの動作と、それが.htaccessウイルスに関係しているかどうかはわかりません)。

私の質問は、このマルウェアのトラブルシューティングとクリーニングをどのように開始する必要がありますか?私はかなり無知で、ウェブマルウェアを扱う経験はほとんどありません。どんな助けでも大いに感謝しています!

出典

2012-03-20 Pinch

答えて

4

これは自分で解決できない場合があります。しかしここにあなたがすべきことがいくつかあります。

  • あなたが持っているapache/phpログをダウンロードします。これらのログは、悪用されているセキュリティホールを指し示すことができます。エントリが見つかる場合は、穴が覆われていることを確認してください。
  • 感染していると思われる画像を削除します。
  • ホストに問い合わせる - いくつかのホスティング会社には、共通の脆弱性を見つけてクリーンアップするための自動化されたソリューションがあります。また、サイトが感染している場合、同じサーバー上の他のクライアントも感染する可能性があります。
    • 逆に、この問題の原因となっている別のクライアントが同じサーバー上にある可能性があります。

  • .htaccessファイルをuploadsディレクトリにアップロードすると、アップロードされた画像以外のファイルにアクセスできなくなります。あなたのホストは、PHPがシステムコマンドを呼び出すことができるような機能をブロックしていない(あなたは驚かれることでしょう)、あなたは何をすべきか知っている場合は、シェルを模倣することができ

    Order deny,allow
    Deny from all
    <FilesMatch "\.(jpe?g|bmp|png)$">
    Allow from all
    </FilesMatch>

  • :それはこのようになります。 systemexecpopenなどのカスタムPHPスクリプトでアクセスできます。私は自分自身で作成したスクリプトを使用します:https://github.com/DCoderLT/Misc_Tools/blob/master/sh/sh.php。それはかなり原始的ですが、私がそれを必要とするときに仕事を終えました。

今後の検討事項:

  • は、バックアップを作成します。あなたのホスティング会社は、これらの時間を一定期間戻ってくるかもしれません。
  • 更新プログラムに注目してください。 Joomlaのアナウンスメーリングリストを購読する。できるだけ早くこれらのアップデートを適用してください。 JoomlaやWordPressのような人気のあるアプリケーションは、スクリプトの児童や自動化されたロボットのための頻繁で簡単なターゲットです。
  • バックアップを作成します。
  • ユーザーAがユーザーBのファイル(ファイルのアクセス許可、suexecなど)に影響を与えないように、ホスティング会社にサーバーが正しく設定されていることを確認してください。私は最近、これがどれほど共通しているのか分かりませんが、以前は頻繁に見過ごされていました。
  • バックアップを作成します。
  • 不要なファイルやフォルダに対して書き込み権限を有効にしないでください。
  • バックアップを作成します。

出典

2012-03-20 14:38:49 DCoder

+1

多くの感謝!あなたの提案の後、私は共有ホストにPHPシェルラッパーをアップロードしようとしましたが、それは驚くことではありません。幸いにも、私は自分のサイトのクリーンバックアップを持っています。私は今、サイトの現在のバージョンを自分のコンピュータにダウンロードし、クリーンバックアップを使ってファイルごとにファイルを比較し、マルウェアを見つけようとします。ウイルスイメージも削除しました。私のホスティングサポートに連絡して、彼らがしたことは、ウイルススキャンを行い、ファイルとフォルダにいくつかの書き込み権限を修正することです。 – Pinch

+2

@Duc:約束通り、私が使用するPHPシェルラッパーへのリンクを追加しました。 – DCoder

0

あなたはそこでどのようなPHPフレームワーク/ CMSを実行していますか?まず、そこに更新を加えることです。 2番目の考え方は、PHP-Shellが置かれているこれらのディレクトリで書き込み権を削除することです。私がやるべき3つ目は、php-shellを削除することです(あなたのcms /フレームワークに属さないファイルを探してみてください)。

幸運

出典

2012-03-20 10:11:00

+3

質問タイトルでJoomlaと言います。 – ceejayoz

+0

ありがとうございます。私のサイトはJoomla 1.0をサポートしていません。Joomla 1.0はサポートされなくなりました。 – Pinch

関連する問題

 関連する問題