網頁設計

關於網頁設計的技術或相關資訊分享

htaccess hack

Joomla .htaccess被駭參考解法


最近看到不少網站有被駭的狀況,整理一下解法

症狀:
.htaccess檔案中被植入code,直接輸入網址,可以正常連到網站,而從google或yahoo等搜尋引擎,搜尋網站名稱,點選連結,卻會被導到.ru網址去,移除了.htaccess檔案後,每隔一段時間(約68分鐘)還會自己檢查.htaccess是否有被修改過,有的話就再改成有code的樣子。

分析:
他是在.htaccess中,偵測如果有來源頁面的話,例如google.com、yahoo.com、facebook之類的,他就把網站301轉址到他指定的網頁去,可能要盡快處理,不然搜尋引擎以為網站的網址是要永久轉址到他指定的網頁去就不好了。

參考解法:
檢查各檔案是否有被植入code
這次在在某tmp的資料夾下面找到
三個php
檔名是
j.php
jos_b69u.php
jos_gxev.php
(這三個檔名應該是亂數的)
檔案內容是一大片加密過的code

檔案的版權宣告是偽裝成vBulletin
/*======================================================================*\
||
################################################################### ||
|| # vBulletin 3.1.9
|| # ---------------------------------------------------------------- # ||
|| # Copyright ?000-2011 vBulletin Solutions Inc. All Rights Reserved. ||
|| # This file may not be redistributed in whole or significant part. # ||
|| # ---------------- VBULLETIN IS NOT FREE SOFTWARE ---------------- # ||
|| # www.vbulletin.com | www.vbulletin.com/license.html # ||
|| #################################################################### ||
\*======================================================================*/

可從FTP將全部檔案下載下來,用notepad++之類軟體,全部搜尋對應的關鍵字,會比較好找,
刪除後,再將.htaccess還原回去,然後接著持續觀察。

還沒找到之前可先用治標的方法
寫一個script每幾分鐘執行一次
把有感染的.htacces殺掉,或者是用正常的.htaccess覆蓋回去
不過如果殺掉的話joomla就不能夠開啟SEF了 


後續處理

1.更新FTP、管理後台、資料庫的密碼。
2.更新系統、joomla 版本。
3.檢查權限是否有777的更改為755。
4.掃瞄有使用過這個網站的電腦是否有中毒。 
5.定時備份(強烈推薦要異地備份),以備不時之需 

Please enable the javascript to submit this form