.htaccess - Joomla 网站 .htaccess 不断被黑

Question

我正在运行 1.5.25，不知何故 .htaccess 文件不断在我的根上创建。

ErrorDocument 400 http:// redirected url index.php                                                                                                                      
ErrorDocument 404 http:// redirected url index.php  index.php                                                                                                                       
ErrorDocument 500 http://redirected url /index.php  

<IfModule mod_rewrite.c>                                                                                                                        
RewriteEngine On                                                                                                                        
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr)\.(.*)                                                                                                                     
RewriteRule ^(.*)$ http://redirected url index.php   [R=301,L]                                                                                                                      
</IfModule>

我想知道如何找出即使删除了这个 .htaccess 文件的人。有没有办法找出哪个脚本创建了这个？哪个用户创建它？

有谁遇到过这个问题吗？有没有办法可以创建一个 .htaccess 并禁止它被更改。应用 644 权限设置似乎没有帮助。

注意:我已将实际重定向 URL 更改为重定向 url index.php

Answer 1

Erm 权限 644 意味着该文件是可写的 - 至少由所有者。我不知道服务器是如何设置的，以及所有者是您(ftp 用户)还是 Web 服务器“无人”。

您可能拥有带有漏洞的过时 Joomla 版本或过时且易受攻击的附加组件。有人利用漏洞将“web shell”放入您的文件系统的可能性很高。这允许他连接到文件，并为他提供一个控制面板，其中包含编辑文件、上传文件、运行任意命令的选项。

可能是服务器上的另一个帐户遭到破坏，然后该帐户中的文件会在服务器范围内进行编辑，或者至少在服务器上的任何可写文件/文件夹上进行编辑。

您真的应该从网络安全专家那里获得帮助，但如果您想尝试自己进行分析，这里有几个步骤需要采取。

在服务器上，您还可以使用“查找”命令搜索文件系统，以查找在过去 x 天或过去 x 小时内更改的文件。

您需要使站点脱机，联系您的主机并解释问题并查看他们可以提供哪些信息。您应该下载您的文件，并首先通过强大的病毒扫描程序运行(这些可以识别当今大多数 web shell)。

在文件中搜索以下单词/模式 - grep 或类似内容对这些很有用:

网络\s* shell

被黑了\s*

r57

c99

base64_decode

带有\s* 的行是正则表达式。
最后一个会提供许多误报——检查每个文件是否有任何可疑的东西，文件看起来不像 Joomla 代码(显然需要有点熟悉才能发现)。

升级 Joomla 和任何具有更多最新版本的附加组件。从搜索开始 http://exploit-db.com/ 'joomla' 并查看是否列出了您的任何附加组件。

http://www.exploit-db.com/search/?action=search&filter_page=1&filter_exploit_text=joomla&filter_platform=0&filter_type=0&filter_lang_id=0

还有许多其他事情可以检查，并且可能应该检查 - 但这些是一个很好的起点 - 但我强调最好保留在这方面经验丰富的人的帮助。去黑客服务的起价通常为 500 英镑，然后上升到约 1,000 英镑(800 至 1600 美元)。

当你把网站放回现场检查
register_globals 已关闭
短开放标签关闭

确保通过 php.ini 中的 this disable_functions 指令禁用以下功能
disable_functions=exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source