Joomla恶意代码删除

Question

这是我的网站。http://ziggymonster.com/

起初，它有4个感染了torjan的js文件和一些恶意代码。我已经清理过那些文件了。但是现在我找不到这个javascript包了。

<script src="http://boneraffyaho.cz.cc/jquery.minph.js"></script>

你可以通过查看页面的源码来查看。

它包含在每个文件的末尾。它会在加载时保留页面，扫描程序会将其检测为恶意代码。

到目前为止我已经尝试过的东西。

1)更改模板2)尝试禁用所有组件。3)尝试禁用所有组件。4)尝试禁用所有插件。5)下载完整站点，并在完整站点中搜索此代码。但是找不到。

但它仍然在那里。你能给我一些建议吗？

Answer 1

即使在javascript被禁用的情况下，恶意代码仍然存在于页面中-这告诉我们它不是由其他js文件中的document.write编写的。

当我们访问带有tmpl=component&no_html=1设置的站点时，该设置禁止模板输出，而只发送组件的输出，代码仍然存在：http://ziggymonster.com/?tmpl=component&no_html=1

这将非常强烈地指向已附加在网站根目录中的主Joomla index.php文件末尾的代码。或者，模板自己的文件夹或/templates/ component.php /文件夹中的系统文件可能是可行的候选文件。

在现场清理网站是有风险的-但可以通过正确的知识，一些经验和正确的工具来完成。我建议找一位经验丰富的Joomla安全专家来做这件事，否则将面临重建网站的文件:在一个完全干净的文件夹中安装一个全新的Joomla (本地主机服务器将是最好的)，安装你所有的扩展，然后删除你的实时站点，并将文件上传到你的web空间，将文件绑定到原始数据库。

当然，从几天前恢复到备份将是最好的选择-您确实有备份，对吗？

您应该检查日志文件，以了解攻击是如何发生的。您还应该更改所有密码，升级Joomla和所有附加组件-如果服务器上的另一个帐户提供访问权限以允许黑客进入，请考虑更改web主机。

祝好运。

Answer 2

删除各种恶意代码的最快方法是通过ssh连接，打开您站点的目录并运行如下查询：

find . '*.*' -exec replace 'HERE_IS_BAD_CODE' '' -- {} \;

您还可以通过修改过滤要搜索的文件类型。在*.php或*.html上

ssh：您应该非常非常小心地使用。

Answer 3

如果您对ssh感到满意，那么可以使用以下命令：

find . -type f -iname '*.php' -exec grep -l "mail(\|eval(\|sockopen\|socket_client" {} \;

它搜索包含危险代码的php文件(从当前目录递归搜索)。黑客对php的原生邮件函数很感兴趣，但eval和套接字api函数也是如此。我每天在我的服务器上运行一次这个命令，它在过去发现了恶意脚本。