我运行1.5.25并且不知何故.htaccess文件在我的root上不断创建.
ErrorDocument 400 http:// redirected url index.php
ErrorDocument 404 http:// redirected url index.php index.php
ErrorDocument 500 http://redirected url /index.php
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr)\.(.*)
RewriteRule ^(.*)$ http://redirected url index.php [R=301,L]
</IfModule>
我想知道如何找出谁创建这个.htaccess文件即使被删除.有没有找出哪个脚本创建这个?哪个用户创建它?
以前有过这个问题的人吗?有没有办法可以创建一个.htaccess并禁止它被改变.应用644权限设置似乎没有帮助.
注意:我已将实际重定向URL更改为重定向的url index.php
Erm权限644表示文件是可写的 - 至少由所有者.我不知道服务器是如何设置的,以及所有者是您(ftp用户)还是'nobody'是Web服务器.
您可能有一个过时版本的Joomla漏洞或过时且易受攻击的附加组件.有人使用漏洞将"Web shell"放入文件系统的可能性很高.这允许他连接到文件并为他提供一个控制面板选项来编辑文件,上传文件,运行任意命令.
可能是服务器上的另一个帐户被泄露,然后该帐户中的文件伸出并在服务器范围内进行编辑 - 或者至少在服务器上的任何可写文件/文件夹上进行编辑.
您应该从网络安全专家那里获得帮助,但如果您想尝试自己进行分析,请执行以下几个步骤.
在服务器上,您还可以使用"查找"命令搜索文件系统,以查找在过去x天或最近x小时内更改的文件.
您需要使网站脱机,与主持人联系并解释问题并查看他们可以提供的信息.你应该下载你的文件,作为第一个措施,通过一个功能强大的病毒扫描程序运行(这些扫描程序现在识别大多数网络外壳).
在文件中搜索以下单词/模式 - grep或类似对这些有用:
网络\ S*壳
砍死\ S*通过
R57
C99
BASE64_DECODE
带\ s*的行是正则表达式.最后一个将提供许多误报 - 检查每个文件是否有任何可疑的文件,看起来不像Joomla代码的文件(显然需要一点熟悉才能发现).
升级Joomla和任何具有更多最新版本的附加组件.首先在http://exploit-db.com/上搜索"joomla",然后查看是否列出了任何附加组件.
还有很多其他的东西可以检查,可能应该检查 - 但这是一个很好的起点 - 但我强调最好保留有经验的人的帮助.去黑客服务的起价通常为500英镑,最高可达1000英镑(800美元至1600美元).
当你回到现场检查register_globals关闭时,短开标签是关闭的
确保通过php.ini中的disable_functions指令禁用以下函数disable_functions = exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source
| 归档时间: |
|
| 查看次数: |
17578 次 |
| 最近记录: |