我的網站被入侵



  • 我的網站,前不久,遭植入程式碼,含有來自 ngadv65erselo.rr.nu 的內容,Google瀏覽器把它擋下。

    使用 Joomla 2.5.6
    自己推測,與模版 Rocket Theme 有關聯
    把模版換成不需 Gantry的舊版,網頁變正常。
    大概 Rocket 的某些元件,含有駭客植入的程式碼。
    我把Gantry移除,重新裝Gantry,2012年8月份以先前的模版變正常,
    後續測試,9月及10月的新模版,仍為異常。
    Rocket公司在這兩個月,採用新的架構,我猜新的 ext 套件被植入程式碼。

    我不確定還有哪些程式碼受侵犯,考慮重新安裝 Joomla。



  • 不知此篇有何意義 ?
    Gantry 是一種 Joomla Framework(框架)
    如果Rocket不論在其框架或元件或模組任一個植入惡意程式碼,那麼依照Joomla規範,他們絕對會被Joomla官方踢出去,
    所以如果你採用的是正版,而發生惡意程式碼的問題,請與Rocket聯絡,這種問題**“他們絕對會馬上處理”**
    但如果不是的話,就像我一再重申使用不明來源的東西,是沒有人想幫助你回答你的

    其實,明眼人一看就知道你這是什麼狀況了~還有你之前那一篇問題也是~



  • (1) 我是付費的正版使用者,RocketTheme已使用多年,歷來正常,到了前幾天,才發生異常。
    (2) 到Rocket的討論區,搜尋別人的提問,沒有這項問題,我自己猜測,下載的檔案皆為正常,可能安裝後,才受到入侵。我安裝的版本,大概有一兩個月沒更動,不知為何這幾天突然出狀況?
    (3) 以前網站有安裝Akeeba (Pro版),以及Admin Tool,皆是付費正版,不知為何造成某些套件安裝失敗,我只好移除Akeeba與Admin Tool。
    (4) 大約半個月前,我租用虛擬主機的BlueHost公司,提供一項新的服務,CloudFrame,採取雲端的方式處理伺服器的檔案,我勾選幾個網域使用它,應該是能夠提升安全,減少駭客入侵的機會。除了這項更動,我這半個月沒有安裝新的東西,難道是這個CloudFrame導致異常嗎?
    (5) 我曾經安裝一個舊版的 wordpress (v2.8.x),前幾天BlueHost寫E-mail給我,說數日內我若沒升級,他們會自動幫我升級。好像那個舊版 wordpress 含有漏洞,我不知那個漏洞,會不會造成 Joomla 被植入程式碼?
    (6) 我有考慮回應給Rocket,但如果只有我一人遇到這種狀況,他們大概會回答套件正常,叫我查其他原因。在與Rocket聯絡前,我想先用中文在台灣的討論區,找看看有沒有人知道答案。

    我是業餘使用者,但牽涉版權的套件,皆付費使用正版。
    對於PHP程式碼,我不熟悉,也不知駭客入侵的類型及影響程度。
    不知Joomla的核心會不會被駭客植入程式碼,我也不確定是否僅有 Rocket的套件被侵入,重新安裝Joomla大概是我目前的最佳解決方案。
    能不能查出這次事件的詳細原因?我缺乏專業網站技術的相關知識,因而難以查到。
    如果有人懂,能否簡單提示一些方向?
    讓我防範將來再度被入侵,謝謝!



  • 如果您真的是正版的使用者,那我非常抱歉,話說的比較重!
    但是,單就我本身來說,我有幫Joomla某家佈景商設計Template,我設計出去的東西,會經過他們再三的修改查毒掃毒等工作才會放到網路上賣,說真的從來沒遇到你這樣的狀況~
    而且您的情形跟"來源不明的東西"情形是一樣的" 所以我才敢肯定是那樣的狀況~

    如果真的是正版使用者(直接跟Rocket購買的),萬分的建議將詳細情形告知他們或者請他們工程師回信在告知她們工程師你網頁admin帳號密碼請他們幫你查,他們公司也不算小,你可以放心交給他們去幫忙查,而且你的情形絕對足以讓她們重視你的案子。這狀況真的不應該出現在已付費使用者上~

    因本身未使用過Rocket的產品,所以無法實質上的幫助你,只能祝您好運~

    Velson W.



  • 有一回,我的Template出狀況,我問Rocket,他們真的服務很好,一步一步教我去查看,最後,依他們建議的方式,仍未查得答案。

    過幾天,還是得靠我自己查,
    我裝了 Rocket一項套件RokBooster,能夠預先把 Rocket Template所含的 Javascript集中壓縮,用以加速網頁效率。
    但我有裝K2, JComment以及 JComment plugin for K2,
    裡頭有個 Javascript 沒有被 RokBooster 壓縮進去,因而造成 JComment按鈕顯示異常。
    我原本以為是 Rocket Template的異常,最後,把RokBooster停用,就恢復正常。

    這一次我遇到的問題,如果別人沒向 Rocket詢問,我大概也有可能要靠自己去找答案。
    我所作好幾個 Joomla 網站,Domain Name不同,有的是 .org .net .tw .com
    Joomla 版本,1.5 1.6 1.7 2.5 都有
    只有 Joomla 2.5 的兩個網站出事,幸好這兩個比較不重要,一個是私人部落格,一個是尚未宣布成立的測試部落格。
    我幫公司作的三個網站,使用 Joomla 1.5 版本,皆沒事,仍然運作良好。
    算一算,我總共安裝了9個Joomla,在同一個虛擬主機空間,有受駭客影響的,僅侷限於兩個Joomla站台。
    過幾天,等比較有空閒,再來好好重整這兩個 Joomla 2.5 的站台。

    感謝 Velson 熱心回答。


  • Global Moderators

    先說結論:
    「我認為是主機的問題,bluehost已經有很多災情傳出了。」

    安全性的部份有幾個可以參考:

    1.官方的安全指引文件:
    http://docs.joomla.org/Security

    2.有傳出漏洞的套件列表(搜尋一下看是不是你有用其中的套件):
    http://docs.joomla.org/Vulnerable_Extensions_List

    其他的就勤作備份吧,備份是以備不時之需用。
    akeeba backup也有免費的版本:https://www.akeebabackup.com/

    個人認為像admin tools之類的網站安全性套件,需要設定調整過才會發揮作用,但是如果主機有問題,說實在也防不了。

    認真的要作安全性,要先從主機(作業系統)下手,主機的影響最大,你看一下我下面列的問題:

    你的作業系統的版本?apache、php、mysql的版本?有在作更新?
    作業系統上有防火牆?有防毒軟體?(linux上可以裝clamAV,這是免費的,有也比沒有好)
    能看得到error.log和access.log(這通常是由apache和php中所提供,也是最簡單判斷有人攻擊的分析檔案)?
    你的共享主機上有色情、盜版類和賭博網站(這有可能會影響,通常這幾種網站常被攻擊)?



  • 「我認為是主機的問題,bluehost已經有很多災情傳出了。」

    有可能,不過,BlueHost最近有災情? :ohmy: ,我倒是沒收到這方面的消息,待會來去搜尋看看怎麼回事。。。



  • 我原本以為 Joomla 1.5 沒受影響,今天檢查伺服器的檔案,發現情況慘重。
    Joomla 1.5 只是頁面上還看不出有什麼異樣。

    仔細查驗,我每個 php 檔的 line 1
    皆被植入 很長的一大段程式碼

    最後一列,原本應該有 ?>
    與第一列的 竟然被移除
    那麼,原本的正常程式就不會被執行

    不僅 Joomla 的 php檔受侵犯
    WordPress 的 php 檔也是
    我以前自己寫一個 很短的程式,放在根目錄,也被植入一大段程式碼。

    那些受侵犯的檔,修改日期皆為 2012 年 9 月 30 日

    現在,我需要一個一個重新安裝嗎?
    或是可執行某個軟體,移除每個 php 檔 line 1 的惡意程式碼

    我租用 BlueHost,跑 CentOS, Apache 2.2.23,PHP 5.2.17,MySQL 5.1.65

    我對 linux 的防毒軟體不懂,從來沒使用過。
    請問 Eddy 站長,有什麼方法,是比較適合的處理措施?



  • 我已寫信給 BlueHost
    也許由他們處理,會比較適合。

    如果 Eddy 先生有方法,
    也請您提供一些建議,讓我參考。

    感謝您!



  • 分享目錄與檔案權限的建議:
    PHP(副檔名為.php)程式:644(唯讀)
    設定檔案「configuration.php」:644(唯讀)
    資料夾:755
    「cache」、「tmp」、「administrator/cache」三資料夾:777

    樓主發現的不明程式碼是駭客以 base 64 編碼傳送某項訊息,位置應該會是某個收集訊息的網站。
    看看 Bluehost 對樓主的 ticket 處理的時間跟情況,印象中有幾個遭駭客侵入的網站都放在 Bluehost 網站,
    雖然個人覺得跟站長在防護措施上做得不夠多有關。


  • Global Moderators

    一般而言,會被改檔案通常有幾種可能
    1.網站上有一些上傳功能的程式權限有漏洞。
    2.具有上傳權限的帳號密碼被截走。
    3.你自己本身的電腦有中毒,ftp帳號密碼已經被截走。

    如果之前有備份可以復原後,然後用下面的工具防護起來。
    如果沒有,備份下來用掃毒軟體掃,或是比對joomla原版的主程式,想辦法復原。
    或是用一些免費的網站安全掃描服務掃看看。

    .htaccess加強性的保護
    http://docs.joomla.org/Htaccess_examples_(security)

    檢查檔案的大小,保護檔案被改的工具
    http://extensions.joomla.org/extensions/tools/security-tools/15379


登入以回覆

看起來你的連線到 Joomla!台灣討論區 已經遺失,請稍等一下我們嘗試重新連線。