在Joomla中查找垃圾郵件的來源

Question

因此，我剛剛開始使用新的Joomla網站，我們添加的內容已開始劫持網站的各個部分，並添加了指向我們不想要的各個地方的鏈接。 不幸的是，我現在無法提供到實時站點的鏈接，但是我可以描述這些問題：

• 在頁腳中，應顯示“ Designed By：”和我們從中獲取模板的位置的名稱，然后離開“ Designed By：”，但刪除模板作者的名稱，而是放入兩個鏈接（而不是為劫機者提供更多點擊量，但這是它們的文字），“在線相冊”和“檢查Whois”

• 當我們將鼠標懸停在站點名稱上時，替代文本將設置為“ Forex Trading Home”，這當然不是應該的。

• 最后，當您將鼠標懸停在主菜單中的“主頁”項上時，會在短暫的延遲后出現一個下拉菜單，其中包含指向“ cpanel轉銷商托管”的鏈接。

現在，我想擺脫這些廣告，但是我不知道它們從哪里來。 如果你們知道一些我可以搜索的通常被劫持的文件，或者找到可以找到它們的好的調試技巧（我嘗試過FirePHP，但並沒有取得很大的成功），我將非常有義務。 不幸的是，由於少數人同時在該網站上工作，因此我們不確定是由哪些擴展引起的（如果確實如此，則是問題所在），但是所有人似乎還不錯，並且來自主要的Joomla擴展站點。

---

編輯：

以下是在我們注意到垃圾郵件問題開始發生之前，我已經安裝的模塊的列表：

• EasyTemplate 。

  • EasyTemplate-MultiPlugin

• mod_picasaslideshow

• 內容-Picasa相冊嵌入

除此之外，其他所有問題都是在問題開始后安裝的，或者是自卸載以來的主題（因此，我不知道它是什么了）。 現在已經討論了這個主題 ，但是我對該武術主題進行了版本修改，其中包含大量修改后的圖像（並且php從.gif更改為.png）。

---

編輯編輯：因此，仍在尋找，但似乎舊版本的picasa2gallery（我們曾經有一個新版本，但已將其卸載）具有LFI漏洞。 也許那就是原因。 無論如何，我想我會全力以赴，然后重新開始。

Answer 1

您的完整Joomla安裝似乎已被黑客入侵，請按照指南進行操作（重新安裝和保護）

Answer 2

因此，事實證明，正確的答案是“以上皆非”，直到我刪除所有內容以刪除該hack之后，我才注意到。

恢復主題之后，我什么也沒有發現，“ hack”垃圾郵件鏈接又回來了，太快了，甚至不能成為自動腳本。

那時，我發現images目錄中有一個.gif文件，其中包含“不良” PHP代碼以包含垃圾郵件鏈接。 具有諷刺意味的是，他們使用的代碼特別糟糕，所以至少從這個漫長的考驗中我得到了一個很好的笑聲。

故事的寓意：不要從ThemZa中獲取主題，如果願意，請准備好對主題進行挖掘，如果您喜歡它們的外觀。

Answer 3

檢查服務器訪問日志。 您很可能會看到對特定組件的訪問過多（或在適當位置）的訪問（在URI中查找com_ *）。

當這發生在我的網站上時，它就是劫機者正在搜索Google的特定組件（即com_virtuemart是最后的罪魁禍首），然后他們嘗試對該組件進行利用，以希望它是有缺陷的版本。

Answer 4

如果您不能肯定地發現並修復他們鑽穿的孔，則可能是重新安裝TobiasP。推薦的方法是唯一安全的方法。 如果有人可以訪問該級別的文件，那么您會遇到很大的問題。 您將需要確定它們的進入方式。這可能有多種原因：

• 有人利用Joomla安全漏洞（或插件中的漏洞）

• 有人通過監視客戶端計算機獲得了對FTP帳戶的訪問權限

• 有人利用服務器軟件中的弱點

這很可能有人利用Joomla漏洞，並且沒有理由恐慌。 但是您絕對應該找出來，或者重新安裝。 也許您會在Joomla論壇或ISP上找到更具體的幫助。

在進行此操作時，最好也確保更改所有FTP密碼。

在Google上讀得很好： 我的網站被黑了-現在怎么辦？