WSO 2.5在Apache上找到


1

我在我的网络服务器上找到了wp-conf.php文件,当你用浏览器调用它的时候,用一个url参数如wp-conf.php?t7831n = 任意值显示一个接口您可以在其中控制整个服务器。我在有很多漏洞的服务器上使用Joomla 1.5。

为我解码可以看出here

除了迁移到Joomla的较新版本的WSO事情的代码,我想,以确保所有的目录是干净的任何恶意文件。我运行chkrootkit,它说一切都很好。另外,正确的权限需要在/ var/www目录下。在阅读了不少帖子之后,我现在将它们定义为755(除了需要777的临时文件外),而拥有者是拥有主用户所属团体所有者www-data的主要用户。

任何帮助/见解非常感谢。服务器运行Ubuntu 10.04并完全修补。谢谢

0

首先:请禁止通过iptables进行任何网络连接,除了ssh。您的服务器已成为僵尸网络的一部分。

运行一个过时的$什么是不好的,因为你经历过,看到[1][2]

你的第二个部分:你不知道,如果文件被修改和恶意的东西在内,或者任何隐藏的文件下降到您的文档根目录。但找到这样的东西需要一些经验。您还应该检查/ tmp隐藏目录或 您的网络配置。

你可以做些什么:抓住干净的joomla-sources并用你的数据库做一个设置;但检查你的数据库中的东西,不属于那里。

你可以检查你的网站与sucuri 或你的服务器IP与robtex看看,如果你的网站已经被称为坏;谷歌安全浏览可能会提供另一个提示。 和谷歌有一个网页可以帮助/通知像你这样的人:here

你还应该检查你的日志,查看那个访问该wp-conf.php的ip。

  0

我检查了链接。现在服务器发送随机邮件。我在它上面安装了nullmailer并禁用了它,所以所有的邮件都进入队列。有没有办法从电子邮件的生成地点看到? 14 8月. 132013-08-14 20:14:33

  0

你可能有一个irc-bot运行或者一个隐藏的php-backdoor。让你的服务器离线。 15 8月. 132013-08-15 11:12:20

  0

我不认为你的解决方案是在这个论坛上可以接受的答案。让我的服务器脱机?无论如何,我现在正在使用[link](http://www.cirt.net/nikto2) 16 8月. 132013-08-16 20:53:55