Вирус / вредоносное ПО, модифицирующее .htaccess на сайте Joomla CMS

Question

У меня есть веб-сайт Joomla 1.0, работающий на общем хосте, к которому у меня нет доступа к оболочке (доступен только FTP). Недавно мой сайт был помечен как вредоносный сайт Google, и я уведомляю, что файл .htaccess изменен с использованием вредоносного содержимого. Эти правила перенаправления на веб-сайт depositpeter.ru добавляются в .htaccess:

ErrorDocument 400 http://depositpeter.ru/mnp/index.php
ErrorDocument 401 http://depositpeter.ru/mnp/index.php ...

Если я очищу этот файл .htaccess, он будет изменен обратно с помощью вредоносного содержимого через несколько минут.

Я подозреваю, что есть некоторый бэкдор PHP, и javascript был внедрен в нашу кодовую базу, которая постоянно изменяет файл .htaccess. Однако я понятия не имею, как эти вредоносные программы попали на мой сайт в первую очередь. Я уверен, что ни один пользователь FTP не загрузил их на мой сайт. При проверке на вирусы было обнаружено, что загруженное пользователем изображение внедряется с помощью вредоносной программы PHP.ShellExec (хотя я не уверен, как работает этот PHP.ShellExec и связано ли оно с вирусом .htaccess).

Мой вопрос: как мне начать устранение неполадок и очистку этой вредоносной программы? Я довольно невежественен и имею небольшой опыт борьбы с веб-вредоносными программами. Любая помощь очень ценится!

Answer 1

Возможно, вам не удастся исправить это самостоятельно. Но вот некоторые вещи, которые вы должны сделать.

• Загрузите любые журналы apache / php, которые у вас есть - это может указывать на уязвимости, которые могут быть использованы. Если вы можете найти записи, убедитесь, что отверстия закрыты.
• Удалить изображение, обозначенное как зараженное.
• Свяжитесь с вашим хостом - несколько хостинговых компаний имеют автоматизированные решения для поиска и устранения распространенных уязвимостей. Кроме того, если ваш сайт заражен, скорее всего, другие клиенты на том же сервере тоже.
  • И наоборот, это может быть другой клиент на том же сервере, который вызывает эту проблему для вас.

• Добавьте файл .htaccess в каталог загрузки, который будет препятствовать доступу к чему-либо кроме загруженных изображений. Это может выглядеть примерно так:

  Order deny,allow<br /> Deny from all<br /> <FilesMatch "\.(jpe?g|bmp|png)$"><br /> Allow from all<br /> </FilesMatch>

• Если на вашем хосте не заблокированы функции, которые позволяют php вызывать системные команды (вы будете удивлены), и вы знаете, что делать, вы можете имитировать доступ к оболочке с помощью специального сценария php, используя system, exec, popen и некоторые другие функции. Я использую скрипт, который сделал сам: https://github.com/DCoderLT/Misc_Tools/blob/master/sh/sh.php. Это довольно примитивно, но сделало работу, когда мне это было нужно.

Будущие соображения:

• Делать резервные копии. Ваша хостинговая компания может предоставить их в течение определенного периода времени.
• Следите за обновлениями. Подпишитесь на рассылку Joomla. Примените эти обновления как можно быстрее. Популярные приложения, такие как Joomla и WordPress, являются частой и легкой мишенью для сценаристов и автоматических ботов.
• Делать резервные копии.
• Убедитесь, что в вашей хостинг-компании сервер настроен правильно, чтобы пользователь A не мог влиять на файлы пользователя B (права доступа к файлам, suexec или аналогичные). Я не знаю, насколько это распространено в наши дни, но в прошлом это был частый недосмотр.
• Делать резервные копии.
• Не оставляйте разрешения на запись включенными для файлов и папок, которые в них не нуждаются.
• Сделать резервные копии.

Answer 2

Какой PHP-Framework / CMS у вас там работает? Первым делом было бы получить там обновление. Вторая идея состоит в том, чтобы удалить право записи в этих каталогах, куда помещается PHP-оболочка. Третье, что я хотел бы сделать, это удалить php-shell (попытаться найти файлы, которые не принадлежат вашей cms / framework).

удачи