Joomlaウェブサイトがハッキングされ、ハッキングされたURLがデータベースにあります

Question

クライアントのJoomla 3.6.5ウェブサイトがハッキングされました。ディレクトリ全体でウイルススキャンとマルウェアスキャンを実行した後、何も表示されませんでした。悪意のあるURLを検索すると、データベースに表示されますが、Webサイトのコードのどこにもありません。私はどのようにハックを見つけるか、または悪意のあるURLをきれいにする方法がわかりません。

(11216,'http://xxxx.com/cache/j.js',NULL,'http://xxxx.com/philosophy-of-life-essay.html','',3,0,'2017-04-14 10:50:38','0000-00-00 00:00:00',301), 
(11217,'http://xxxx.com/cache/jq.js',NULL,'http://xxxx.com/philosophy-of-life-essay.html','',3,0,'2017-04-14 10:50:38','0000-00-00 00:00:00',301), 
(11218,'http://xxxx.com/cache/layout.css',NULL,'http://xxxx.com/philosophy-of-life-essay.html','',1,0,'2017-04-14 10:50:57','0000-00-00 00:00:00',301), 
(11219,'http://xxxx.com/cache/ssc.css',NULL,'http://xxxx.com/philosophy-of-life-essay.html','',1,0,'2017-04-14 10:52:09','0000-00-00 00:00:00',301), 
(11220,'http://xxxx.com/cache/jq.css',NULL,'http://xxxx.com/philosophy-of-life-essay.html','',1,0,'2017-04-14 10:52:09','0000-00-00 00:00:00',301) 

悪意のあるURLがデータベースに存在するため、データベースがハッキングされましたか？悪質なURLを削除するにはどうすればよいですか？私はパスワードを変更する必要があることを知っていますが、私はこのサイトを解体する方法に困っています。私はハッキングされたデータベースをどのように駆除するのか分かりません。任意のヒント？ありがとう！

Answer 1

Q：悪意のあるURLがデータベースに存在するため、データベースがハッキングされましたか？

A：記載されている情報はありません。

https://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

"ハッキング" という用語は、非常に広いです。信任状を不正に取得しましたか？ウェブサイトが壊れていたか？有効なデータがデータベースから盗まれましたか？有効なデータが削除または変更されていますか？新しい不正データが追加されましたか？

これらのうちいずれかが起こった可能性があります。 1つの可能性は、Webサイトの通常の操作、それらの操作を実行するための資格情報（ログインとパスワード）を取得した悪意のある俳優によるデータベースの変更が行われたことです。

悪意のある俳優がウェブサイトコードの脆弱性を悪用する可能性があります。 XSSとSQLインジェクションの脆弱性が卓越し、それらを悪用するのが比較的容易であることを考えると、これが最も可能性の高いシナリオです。 （ウェブサイトの多くのプラグインが脆弱であることが知られています）

または、データベースに接続され、データベース操作を実行している他のプログラム。

Q：悪意のあるURLを削除するにはどうすればよいですか？

最初の手順は、既知の正常なバックアップからデータベースのコピーを復元することです。

疑わしいデータベースの保存されたコピーを使用して、削除、変更、または追加されたデータを識別するための比較を行うことができます。 （URLを「悪意のある」とみなしているのはどういう意味ですか？それをどのように定義していますか？質問にはデータベーステーブルの行がいくつかあるように見えますが、これらの行はどのように他の行よりも悪意を持っていますか）

Q：ハックを修正するにはどうすればいいですか？私はパスワードを変更する必要があることを知っています...

権限のない俳優がログイン資格情報を取得した場合は、パスワードを変更する必要があります。彼らが資格をどのように手に入れたのかを理解し、それが再び起きないようにするための措置を取る。

また、脆弱性をクローズアップして、それが再び起きないようにします。

Q：このサイトを解体する方法がわかりません。私はハッキングされたデータベースをどのように駆除するのか分かりません。任意のヒント？

既知の正常なバックアップからデータベースを復元します。

また、脆弱性を緩和して、これが再び起こるのを防ぐ（またはそうしないようにする）可能性があります。クロスサイトスクリプティング（XSS）やSQLインジェクション、あなたが経験している何OWASPトップ10

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=OWASP_Top_10_for_2013

Answer 2

に常にworst kind of Joomla hacksあるデータベースハック、です。

半静的なウェブサイトを実行している場合は、バックアップに戻すことは良い解決策になるかもしれませんが、ウェブサイトに毎日新しいコンテンツがある場合（またはハック以降新しいコンテンツがある場合）は元に戻すことはできませんデータを失うことなくバックアップ。この場合、ハックされた文字列を空の値に置き換えるには、MySQLのREPLACE関数を使用する必要があります。

データベースのハッキングを修正したら、ハッキングされたファイルやバックドアファイルがどこにあるかを確認するために、ウェブサイトの内部スキャンを実行する必要があります。それが完了したら、未使用の拡張機能をすべてアンインストールする必要があります.JoomlaのVELリストにあるすべての拡張機能をアンインストールする必要があります。あなたが持っている拡張機能は、最新のバージョンに更新する必要があります。

あなたは上記で完了したら、あなたは次の操作を行う必要があります。ウェブサイトの

• 変更し、すべてのパスワード：Joomlaのパスワード、FTP/SFTP、データベースのパスワード（FTPを使用しないよう含みます可能であれば、cPanelのパスワードなど...

• PHPのファイルへのApacheのアクセスを 'index.php'ファイルに制限します（これはhtaccessファイルで行うことができます）。

• 共有ホスティングの場合は、WebサイトをVPSまたは専用サーバーに移動します。