一像素被挂黑链了

昨天晚上查看网站源代码的时候突然发现我的Joomla站点一像素被挂了黑链,页面底部</body>标签以外有两个隐藏链接指向西班牙语网站……我整个人都斯巴达了。

随即开始排查,排除mariadb数据库、主题的*.php和*.js文件后才发现是网站跟目录下的index.php被修改了,哪位黑客大人这么牛逼?我是怎么中招的?我又开始翻看各种服务器日志,没发现什么值得注意的事情。

网站根目录下index.php的修改时间是10月10日,回想了一下,那天我下载了几个Joomla的商业组件,在一像素上做了测试,发现没什么特别价值,就删除了,难道是那几个组件的问题?于是我又去把那几个组件下载回来再排查。果然,在jsitemap pro中发现了问题:

shell_exec

上面php代码中shell_exec的作用就是把那两个黑链写入我的根目录index.php,搞了半天原来是我自己引狼入室……所以,来路不明的组件还是要慎用。

话说回来,通过这次的经历也发现了我自己服务器配置的问题,赶紧把shell_exec写入php.ini中的disable_functions。

Joomla

评论  

# 蘑菇小象 2014-11-18 21:58
外面的世界还是很凶残,一不小心就中招
希望博主把那些挂马的组件名字和下载地址曝光一下,以免更多的人中招
回复
# 一像素 2014-11-18 22:05
只能靠自己了,组件或者模板之类的压缩包,里面文件的最后修改时间基本上都一致的。
如果其中有文件的最后修改时间与其它文件不一致,那么这个文件十之八九被动过。
回复

提交评论


安全码
刷新

Email: i at onepx dot com || QQ: ⑧九零三④幺 || 微信: onepxcom
©2019 一像素 蜀ICP备13026576号-2 技术支持:成都网站建设