Joomla网站被黑，被黑的网址在数据库里

Question

一名客户的Joomla 3.6.5网站被黑客入侵。在对整个目录运行病毒扫描和恶意软件扫描后，没有出现任何问题。当我搜索恶意URL时，它们会出现在数据库中，但不会出现在网站文件的代码中。我不知道如何找到黑客，也不知道如何清除恶意URL。

(11216,'http://xxxx.com/cache/j.js',NULL,'http://xxxx.com/philosophy-of-life-essay.html','',3,0,'2017-04-14 10:50:38','0000-00-00 00:00:00',301),
(11217,'http://xxxx.com/cache/jq.js',NULL,'http://xxxx.com/philosophy-of-life-essay.html','',3,0,'2017-04-14 10:50:38','0000-00-00 00:00:00',301),
(11218,'http://xxxx.com/cache/layout.css',NULL,'http://xxxx.com/philosophy-of-life-essay.html','',1,0,'2017-04-14 10:50:57','0000-00-00 00:00:00',301),
(11219,'http://xxxx.com/cache/ssc.css',NULL,'http://xxxx.com/philosophy-of-life-essay.html','',1,0,'2017-04-14 10:52:09','0000-00-00 00:00:00',301),
(11220,'http://xxxx.com/cache/jq.css',NULL,'http://xxxx.com/philosophy-of-life-essay.html','',1,0,'2017-04-14 10:52:09','0000-00-00 00:00:00',301)

由于恶意URL在数据库中，数据库被黑客攻击了吗？如何删除恶意URL，如何修复黑客攻击？我知道我必须更改密码，但我对如何破解这个网站感到困惑。我不知道如何清理被黑客入侵的数据库。有什么建议吗？谢谢!

Answer 1

问:由于恶意URL在数据库中，数据库被黑客攻击了吗？

答:根据所提供的信息，无法判断。

https://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced

“黑客”这个词非常宽泛。凭据是否以欺诈方式获得？网站被污损了吗？是否从数据库中窃取了有效数据？是否已删除或更改有效数据？是否添加了新的欺诈性数据？

有几种方式可能会发生这种情况。一种可能性是，数据库修改是由获得凭证(登录和密码)以执行这些操作的恶意行为者通过网站的正常操作进行的。

或者，恶意攻击者可以利用网站代码中的漏洞进行攻击。考虑到XSS和SQL注入漏洞的优势，以及利用这些漏洞的相对容易，这是最有可能的情况。(很多网站的“插件”都是易受攻击的。)

或者，连接到数据库并执行数据库操作的一些其他程序。

问:如何删除恶意URL？

第一步是从已知良好的备份中恢复数据库的副本。

有了可疑数据库的保存副本，我们可以进行比较，以帮助识别已删除、更改或添加的数据。(是什么让URL成为“恶意的”？你是如何定义它的？我们在问题中看到的似乎是数据库表中的一些行。这些行为什么比其他行更“恶意”？)

问:如何修复黑客攻击？我知道我必须修改密码...

如果未经授权的参与者已获得登录凭据，则是，您需要更改密码。找出他们是如何获得凭证的，并采取措施防止这种情况再次发生。

并关闭漏洞，以防止这种情况再次发生。

问:我被如何破解这个网站给难住了。我不知道如何清理被黑客入侵的数据库。有什么建议吗？

从已知良好的备份还原数据库。

再说一次，减轻漏洞以防止(或减少)这种情况再次发生。跨站脚本(XSS)和SQL注入总是在OWASP的前10名中。

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=OWASP_Top_10_for_2013

https://www.owasp.org/index.php/SQL_Injection

Answer 2

您正在经历的是数据库黑客攻击，这就是worst kind of Joomla hacks。

如果你正在运行一个半静态的网站，恢复备份可能是一个很好的解决方案，但是，如果你的网站每天都有新的内容(或者在黑客入侵后有新的内容)，那么你就无法在不丢失数据的情况下恢复到备份。在这种情况下，您将需要使用MySQL的REPLACE函数将被黑客攻击的字符串替换为空值。

一旦你修复了数据库黑客，你将需要在你的网站上运行内部扫描，以确保发现是否有黑客/后门文件在任何地方。一旦完成，你将需要卸载所有未使用的扩展，并且你将需要卸载Joomla的VEL列表中的所有扩展。您拥有的任何扩展都必须更新到最新版本。

完成上述操作后，您需要执行以下操作：

PHP

• 更改网站的所有密码:包括Joomla密码、FTP/sFTP、数据库密码(如果可以避免使用FTP )、PHP密码、etc...

• Restrict Apache对'index.php‘文件的访问(可以在htaccess文件中完成)。

• 如果您在共享主机上，请将网站移动到或专用服务器。

Answer 3

这似乎是一个相当糟糕的问题！以下是一些小贴士：

1. 一定要检查谷歌的黑名单状态，也要做一个'fetch as google‘来检查搜索结果中是否有恶意软件出现。
2. 建议找到所有从网站到其他域名的外部呼叫(通常黑客将信用卡信息指向他们自己的域名或电子邮件)。
3. 一个比较命令会有很大的帮助：

$ mkdir joomla-3.6.4

$ cd joomla-3.6.4

$wget https://github.com/joomla/joomla-cms/releases/download/3.6.4/Joomla_3.6.4-Stable-Full_Package.tar.gz

$ tar -zxvf Joomla_3.6.4-稳定-全包.tar.gz

$ diff public joomla-3.6.4./ -r _html

还有更多步骤可以通过以下网址进行检查：https://www.getastra.com/blog/cms/joomla-security/joomla-admin-security/