找出發送SPAM的server檔案

server 被hack 好難避免,所以要成日查看日誌,如果你見到mail log 發送了成萬封mail,好明顯有問題,大部分被植入木馬。例如joomla, wordpress 這些系統經常被人植入,要尋找發送SPAM的檔案,如果靠FTP,就只能一個個檔案開,如果你有Root權限,那麼就可以入SHH進入搜索。

grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F”cwd=” ‘{print $2}’ | awk ‘{print $1}’ | sort | uniq -c | sort -n

上面指令能夠搜索到一些使用mail script 的位置,有了位置就可以使用ftp 入去看看是否被人種了外掛。如果是就檔案刪除。

不過建議都是要安裝防毒軟件和經常看日誌。

詳細資料看這裡

wordpress joomla 被黑如何處理

最近有幾個朋友網站被goolge 列為病毒網站,也就是顯示紅色有害,進入伺服器裡面查看發現不斷發送郵件。雖然首頁看起來沒有什麼問題,但其實已經被黑了。

首先看首頁index.php,已經被加入了一大堆base64 decode 的東西

code64

就算你更改刪除了上面的東西,隔一陣子文件又會被加入,因為病毒文件已經散佈在很多個文件之中,還會不斷更改和製造其他病毒文件,如何查找出來呢?有幾個很好的指令command line 可以用:

可以用putty 進入主目錄,然後輸入

grep –include=\*.php -rnw -e “64_decode”

grep –include=\*.php -rnw -e “GLOBALS\[”

 

是因為病毒文件很多都有eval(base64_decode 這個function,全部搜索一下,然後每個都打開來看看,很容易找出大部分病毒文件

還有一個指令,雖然沒什麼大用處,不過可以將文件按日期排列,找出最近更新過的文件

find . -printf “%T@ %Tc %p\n” | sort -n

記得再看看.htaccess 文件是否被更改,因為這個文件可以更改網頁瀏覽目錄

Joomla 與wordpress 又一分水嶺

最近比較繁忙,很少上來打文章,一直用開的Joomla 系統和wordpress 都出現不少系統漏洞,不少朋友的網站還在使用joomla 1.5,已經停止支援很長一段時間,joomla 2.5 也是停止了大半年,現在已經joomla 3.4.x。而wordpress 也不斷升級,有朋友都覺得這些升級很煩惱,部分已經停止升級,舊系統的朋友,則頭痛如何將data 搬遷去新的系統,這些日子做了一些測試,試著將joomla 1.5 , joomla 2.5 搬去joomla 3,成績還算不錯。

Joomla 和 WordPress 的特性已經開始大差別了,Wordpress 的更新升級,內容識別十分簡單,基本已經滿足個人用戶體驗,用了1小時,就教會了一個比較大年紀的人使用wordpress 打文章,十分簡單。但joomla 在用戶體驗上沒有做出太大的改善,基本還是要靠插件來實現。

Joomla 在插件上的選擇要十分小心,在1.5 和2.5 時,由於 joomla 的內容編輯器十分難用,因此很多人都用了k2 插件,但時間多了,內容多了,在你要升級joomla 3時,會發現 把joomla k2 內容返回到 原來的內容系統是一個需要收費的服務,雖然我之前的文章有教過如何過渡,其方法依然可以。 Joomla 在升級方面還有很多不明因素,很多的錯誤,而wordpress的速度快,而且自動更新和向下兼容能力很高,對於個人用戶來說,現在我只會選擇wordpress,對於商業,Joomla 我還是比較有保留,因為太難教了,wordpress 的用戶體驗還是贏了一條街,速度也是,假如你現在在煩惱搬家,會不會考慮一下把Joomla 搬去wordpress呢?

本人依然使用Joomla,Wordpress,始終還是比較成熟的2個系統。

輕鬆學寫program

走到電腦書局一大堆program 書,真的叫新人無從下手,自己是過來人明白這種苦處,但自從網上平台流行後,筆者學習電腦語言已經不太學要去買書,大多數為幾個地方:google,youtube,codecademy。youtube 是大量影片,一集一集跟著學,google 可以尋找到答案和例子,codecademy 是今日要介紹的平台。

codecademy 是一個晚上學習電腦語言的平台,網址:http://www.codecademy.com/ 繼續閱讀 輕鬆學寫program