病毒/恶意软件在 Joomla CMS 网站上修改 .htaccess

Posted 2023-02-19

【中文标题】病毒/恶意软件在 Joomla CMS 网站上修改 .htaccess

【英文标题】：Virus/malware modifying .htaccess on Joomla CMS website

【发布时间】：2012-04-04 19:04:46

【问题描述】：

我有一个 Joomla 1.0 网站在我没有 shell 访问权限的共享主机上运行（只有 FTP 可用）。最近我的网站被谷歌标记为恶意软件网站，我通知 .htaccess 文件被恶意内容修改。这些重定向到名为“depositpeter.ru”的网站的规则被添加到 .htaccess:

错误文档 400 http://depositpeter.ru/mnp/index.php 错误文档 401 http://depositpeter.ru/mnp/index.php ...

如果我清理这个 .htaccess 文件，它会在几分钟后被恶意内容修改回来。

我怀疑有一些后门 PHP 和 javascript 被注入到我们的代码库中，不断修改 .htaccess 文件。但是，我不知道这些恶意软件最初是如何登陆我的网站的。我很确定没有 FTP 用户将这些上传到我的网站。病毒扫描发现有一个用户上传的图像被注入了 PHP.ShellExec 恶意软件（我不确定这个 PHP.ShellExec 是如何工作的，但它是否与 .htaccess 病毒有关）。

我的问题是我应该如何开始对这个恶意软件进行故障排除和清理？我很无知，也没有处理网络恶意软件的经验。非常感谢任何帮助！

【参考方案1】：

您自己解决此问题可能超出您的能力范围。但这里有一些你应该做的事情。

下载您拥有的任何 apache/php 日志 - 这些可能指向被利用的安全漏洞。如果您能找到条目，请确保这些孔已被盖住。 删除指示为受感染的图像。 联系您的主机 - 几家主机公司都有自动解决方案来查找和清理常见漏洞。此外，如果您的站点被感染，则很有可能同一服务器上的其他客户端也会被感染。 相反，可能是同一服务器上的另一个客户端导致您出现此问题。

在上传目录中添加一个.htaccess 文件，该文件将阻止访问上传图片以外的任何内容。它可能看起来像这样：

Order deny,allow Deny from all <FilesMatch "\.(jpe?g|bmp|png)$"> Allow from all </FilesMatch>

如果您的主机没有阻止允许 php 调用系统命令的函数（您会感到惊讶）并且您知道该怎么做，您可以使用 system 使用自定义 php 脚本模拟 shell 访问， exec、popen 和其他一些功能。我使用自己制作的脚本：https://github.com/DCoderLT/Misc_Tools/blob/master/sh/sh.php。它相当原始，但在我需要时完成了工作。

未来考虑：

进行备份。您的托管公司可能会在一段时间内提供这些信息。 密切关注更新。订阅 Joomla 公告邮件列表。尽快应用这些更新。 Joomla 和 WordPress 等流行应用程序是脚本小子和自动机器人的常见目标。 进行备份。 确保您的托管公司正确设置了服务器，这样用户 A 就不会影响用户 B 的文件（文件权限、suexec 或类似文件）。我不知道现在这种情况有多普遍，但过去经常出现这种疏忽。 进行备份。 不要对不需要的文件和文件夹启用写权限。 进行备份。

【讨论】：

非常感谢！根据您的建议，我尝试将 php shell 包装器上传到我的共享主机，但令人惊讶的是它可以正常工作。幸运的是，我有一个干净的网站备份。我现在正在将站点的当前版本下载到我的计算机上，并尝试将文件与干净的备份进行比较，以希望找到恶意软件。我也删除了病毒图像。已联系我的托管支持，他们所做的是进行病毒扫描并修复我的文件和文件夹的一些写入权限。

@Duc: 正如承诺的那样，添加了指向我使用的 php shell 包装器的链接。

【参考方案2】：

您在那里运行哪种 PHP 框架/CMS？首先是在那里获得更新。第二个想法是删除放置 PHP-Shell 的这些目录上的写权限。我要做的第三件事是删除 php-shell（尝试查找不属于您的 cms/framework 的文件）。

祝你好运

【讨论】：

问题标题中写着Joomla，加油。

谢谢。我的网站正在运行 Joomla 1.0，它不再受支持，也找不到任何更新。