DocMartin 的 Mambo 部分和一個也運行 Mambo 的相關網站最近遭到駭客攻擊。主要的事情似乎是一些程式碼(javascript)被插入到用於創建每個頁面的模板中 - 這顯然會導致運行 Windows(未受保護)的人可能無意中下載木馬。
在一些用戶發電子郵件說當他們嘗試訪問我的網站時,諾頓報告有人試圖下載木馬後,我才了解到這一點。
這就像間諜軟體一樣;可以從受感染的電腦發送可能包含密碼的資訊 - 甚至可能是在線上存取的銀行帳戶。 (網絡釣魚)。透過谷歌搜索,我了解到該代碼顯然已被愛沙尼亞人使用(!)——一名愛沙尼亞網絡釣魚者於四月份因使用這種技術而被捕。
我認為網站現在已清理完畢;和網站主機幫助監視任何更多的流氓活動。
高興的是;有反制措施。閱讀更多內容以獲取有關這些的一些資訊;還可以了解更多 Mambo 網站上的 hack。
對策
防範此類攻擊的一種方法是不在電腦上儲存密碼;並且不允許網站記住登入 ID 和密碼,這些資訊儲存在其他人可能能夠讀取的 cookie 中。 (這是我的網站主機的建議。)
另外,如果您可能已被感染:請更改您的密碼。
有許多軟體可以掃描和刪除特洛伊木馬 - 常規病毒軟體可能無法找到這些軟體,即使諾頓可以在嘗試下載特洛伊木馬時發出警告。
微軟 可以幫助掃描和刪除惡意軟體;有打擊間諜軟體的新計劃。
反木馬軟體評論涵蓋了一些最好的軟體,儘管可能有點過時。
a平方 屬於受審查的軟體之一;有一個免費版本(連結到此處)。
TrojanScan 可進行免費線上掃描。 [連結可能已停止工作]
間諜軟體衝擊波 是免費軟體。
SpySweeper 的成本約為 $30,但聲稱是目前最全面的間諜軟體防護。
Mambo(和 Joomla?)和這個 Javascript 程式碼插入
在谷歌搜尋資訊時,我在 Mambers.com(現為 Joombers.com)上發現了一篇論壇帖子,描述了 Mambo 網站上的此類黑客攻擊。
報告該問題的人在他的資料夾中有許多新的 php 檔案。我也添加了新的 php 檔案;每個資料夾兩個或四個,名稱多種多樣(總共20多個名稱);一切顯然都是空的。此外,相關的新 .htaccess 檔案顯然是為了在嘗試訪問網站時運行 php 檔案而產生錯誤代碼。
主要的事情顯然是在模板的index.php 檔案末尾添加的javascript;在其他網站上,無法使用 Dreamweaver 看到此新程式碼。
該代碼需要刪除。
額外的文件也應該被刪除;真正的痛苦,需要時間。
我還發現一些 Mambo 組件/mambos 已損壞 - 似乎都是第二方。包括 mamboxplorer 和 TMEdit。不得不刪除並重新安裝它們。
然後,重新安裝的 mamboxplorer 報告第二個使用者擁有我伺服器上所有檔案的權限;我向網站主機報告,然後被刪除。
在看到 Mambo 用戶發來的另一篇論壇帖子,其中的網站已被「破解」後,我發了一封電子郵件,收到了一些非常有用的回應。
只有第二個回應才促使我搜尋額外的 php 檔案(我的網站寄存公司建議這些文件可能來自 Mambo,不知何故有點奇怪),並最終找到了 javascript。
但他的問題似乎涉及他的文件被發送到其他地方。
這不是特定的 Mambo(或 Joomla)問題;而是一個問題。透過谷歌搜索,我發現它影響了幾個運行 php 的網站,包括論壇。好像是2005年春天左右開始的。