Você alterou sua senha para algo mais seguro?
Um ataque semelhante continua ocorrendo em dois dos meus sites (um está executando o último Joomla, um não está).
Geralmente diz "hackeado por geral" ou algo similar. Quando eu verificar os arquivos em um deles, há um arquivo php com código semelhante:
eval("?>".gzuncompress(base64_decode("eJzUvWmT4kiyKPp9... etc.
Eu também encontrei um arquivo htm estranho que tem um monte de código confuso. Se você precisar, posso postar esses arquivos em algum lugar.
Os ataques são sempre apenas uma página de índice alterada e este arquivo php estranho (mas desta vez também havia outra página do php com este código:
<?php
if ($_GET['randomId'] != "Wo9QPY5euhw0bEKfNve82PW926VyluUh2HA3FGAidHDwA7h3wwZCOA2F2kva028q") {
echo "Access Denied";
exit();
}
// display the HTML code:
echo stripslashes($_POST['wproPreviewHTML']);
?>
Eu restaurei a página de índice original, mas isso está ficando muito chato. Eu também estou verificando meu pc para trojans como eu li que alguém pode ter roubado minhas credenciais de ftp com um trojan (mas para este site eu nem use ftp).
Ajuda!
Você alterou sua senha para algo mais seguro?
Todo o software instalado em seu servidor está atualizado (ou seja, Joomla, qualquer outro aplicativo instalado)?
Você alterou sua senha para a conta de hospedagem e verificou que nenhuma conta adicional foi criada (no seu painel de controle, se você tiver uma).
Após a limpeza do hack, você tem certeza de que removeu TODAS as modificações: novos arquivos enviados pelo invasor, arquivos modificados pelo invasor? Isso pode muito além da página de índice para o seu site.
Primeiro, verifique suas permissões de arquivo. Se isso estiver acontecendo, tente executar um 755 em todos os seus arquivos no web_root. (exceto a (s) pasta (s) que precisam de permissões de gravação para uploads de arquivos).
Em seguida, observe seus registros com muita atenção. O aplicativo que não é homegrown do joomla? Eu procuraria por solicitações de URL anormais. Certifique-se de que seus logs estão sendo registrados em outro lugar. O hacker pode estar excluindo os logs.
Você sabe se o root foi comprometido? Altere a senha do root também.
Você usa um editor de cpanel para editar seus arquivos? É isso que provavelmente é a causa do segmento $ _GET ['randomID']. ( link )
Postar esse arquivo HTML pode ser útil.
Isso é o que está acontecendo em seu site: link
Milhares de sites foram invadidos dessa maneira.