我在我的所有文件中搜索了可能重定向或将此恶意软件放入我的网站无效的内容.以前有过这个的人吗?它分布在我托管的多个网站上.与它们共同的组成部分是jevents,但即使是代码也没有改变.
有没有办法可以阻止来自.htaccess的这些请求?
您确实需要使您的站点脱机 - 实际上从服务器中删除文件并确定这是什么类型的黑客.
首先,虽然我建议您在浏览器中关闭javascript并访问您的页面 - 您仍然会被重定向吗?
如果没有 - 那么问题是:
a)javascript文件已添加到您的网站 - 或者已编辑现有的javascript文件.检查页面中加载的所有.js文件.
b)sql注入已将javascript直接添加到您的文章中(可能是每篇文章
假设您在javascript关闭时被重定向 - 那么您正在寻找:a)编辑的.htaccess文件,将您重定向到其他地方b)编辑(或"包含")php文件设置标题并将您带到其他地方.
此处列出了您网站中的任何附加组件:http://www.exploit-db.com/search/? action = search&filter_page = 1&filter_description = joomla&filter_exploit_text =&filter_author =&filter_platform = 0&filter_type = 0&filter_lang_id = 0&filter_port =&filter_osvdb =&filter_cve =
您需要知道是否只有您的站点遭到入侵,或者它是否是服务器上的其他站点,甚至服务器本身是否已被接管,这对您的主机来说都是一个问题.从备份重建后立即重新感染可能意味着:a)已设置cron作业以在设定的时间段内重新感染您b)服务器上的另一个帐户被感染并正在接触以重新感染其他人c)您的网站之前已被入侵(网站中已删除的文件)但这些网站处于休眠状态,等待个人或僵尸网络连接并控制.d)或服务器完全受损,黑客只是重新连接以重新感染
你可以采取一些步骤 - 但坦率地说,这是一个领域,如果你需要问这可能是一个标志,你没有能力在没有专家协助的情况下处理这个问题.
你可以grep你的文件可能的文件模式c99,r57,web shell,eval(base64decode(等等).
您可以扫描具有最近创建日期或最近修改日期/时间的文件
文件在过去x天内更改(在这种情况下为1天)
find . -mtime -1
文件在两个日期之间更改
find . -type f -newermt "2010-01-01" ! -newermt "2010-06-01"
您应该扫描日志文件以查找可疑活动
您可以下载文件并让您的防病毒程序扫描它们 - 这可以为您提供一个起点(不要让它删除文件,因为它们的内容可以提供更多线索).
您应该阻止已知自动/脚本用户(wget,libwww等)的访问
总而言之,虽然你可以花几天时间与此作斗争但并不能保证成功.我的建议是从Joomla安全专家那里获得一些帮助.