之前發現朋友網站被Hack 了,奇怪這個網站是用joomla 系統,應該安全性是不錯的,但為何會被Hack 了呢? 馬上聯繫上,并登入伺服器查看Log。 發現安全記錄沒問題,沒被破解密碼,伺服器安全,那麼就是joomla 這套系統有問題,google了一下,就發現了hmei7這個hack joomla 的東西。
hmei7 是利用了joomla 的編輯器JCE, 因為JCE可以上載檔案,并可以改名之類。假如伺服器支援su_php,那麼權限就更大。
這個hack主要是用JCE的漏洞進行攻擊,把一個txt或gif檔案上載到伺服器,然後改名成php後執行,就會把首頁改成被hack的頁面。
拯救不難,administrator是沒有被hack的,可以繼續登入,進去把JCE升級到最新或者停用。然後下載新的joomla 安裝包,取代index.php, config 檔案,config 檔案記住要把自己的設定值拷貝過去。
接著就是移除上載上去的檔案,大多在images, cache,tmp 裏面,因為這些都可以寫入,有.htm 的檔案,也有是php 檔案。
大家記得多更新插件
