Подобная атака продолжается и на двух моих сайтах (на одном установлена последняя версия Joomla, а на другом - нет).
Обычно там написано «взломано генералом» или что-то в этом роде. Когда я проверяю файлы на одном из них, я вижу файл php с похожим кодом:
eval("?>".gzuncompress(base64_decode("eJzUvWmT4kiyKPp9... etc.
Я также нашел странный htm-файл, в котором много беспорядочного кода. Если вам нужно, я могу выложить эти файлы где-нибудь в архиве.
Атаки всегда представляют собой измененную страницу индекса и этот странный файл php (но на этот раз была еще одна страница php с таким кодом:
<?php
if ($_GET['randomId'] != "Wo9QPY5euhw0bEKfNve82PW926VyluUh2HA3FGAidHDwA7h3wwZCOA2F2kva028q") {
echo "Access Denied";
exit();
}
// display the HTML code:
echo stripslashes($_POST['wproPreviewHTML']);
?>
Я восстановил исходную индексную страницу, но это меня очень раздражает. Я также проверяю свой компьютер на наличие троянов, поскольку читал, что кто-то мог украсть мои учетные данные ftp с помощью трояна (но для этого сайта я даже не использовал ftp).
Помогите!
Все ли программное обеспечение, установленное на вашем сервере, обновлено (например, Joomla и другие установленные вами приложения)?
Изменили ли вы свой пароль для учетной записи хостинга и проверили, что дополнительных учетных записей не было создано (в панели управления, если она у вас есть).
После очистки от взлома вы уверены, что удалили ВСЕ модификации: новые файлы, загруженные злоумышленником, файлы, измененные злоумышленником? Это может выходить за рамки только индексной страницы вашего сайта.
Вы изменили свой пароль на более безопасный?
Прежде всего, проверьте права доступа к файлам. Если это происходит часто, попробуйте запустить 755 для всех ваших файлов в каталоге web_root. (кроме папок, которым требуются разрешения на запись для загрузки файлов).
Затем внимательно посмотрите на свои журналы. Является ли приложение разработанным не на Joomla? Я бы поискал аномальные URL-запросы. Убедитесь, что ваши журналы регистрируются в другом месте. Хакер мог удалять журналы.
Вы знаете, был ли скомпрометирован root? Также измените пароль root.
Вы используете редактор cpanel для редактирования файлов? Это, скорее всего, причина сегмента $ _GET ['randomID']. (http://www.zen-cart.com/forum/showthread.php?t=123442)
Размещение этого HTML-файла может быть полезным.
Вот что происходит на вашем сайте: http://blog.unmaskparasites.com/2011/05/05/thousands-of-hacked-sites-seriously-poison-google-image-search-results/
Таким образом были взломаны тысячи веб-сайтов.