找出發送SPAM的server檔案

server 被hack 好難避免,所以要成日查看日誌,如果你見到mail log 發送了成萬封mail,好明顯有問題,大部分被植入木馬。例如joomla, wordpress 這些系統經常被人植入,要尋找發送SPAM的檔案,如果靠FTP,就只能一個個檔案開,如果你有Root權限,那麼就可以入SHH進入搜索。

grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F”cwd=” ‘{print $2}’ | awk ‘{print $1}’ | sort | uniq -c | sort -n

上面指令能夠搜索到一些使用mail script 的位置,有了位置就可以使用ftp 入去看看是否被人種了外掛。如果是就檔案刪除。

不過建議都是要安裝防毒軟件和經常看日誌。

詳細資料看這裡

wordpress joomla 被黑如何處理

最近有幾個朋友網站被goolge 列為病毒網站,也就是顯示紅色有害,進入伺服器裡面查看發現不斷發送郵件。雖然首頁看起來沒有什麼問題,但其實已經被黑了。

首先看首頁index.php,已經被加入了一大堆base64 decode 的東西

code64

就算你更改刪除了上面的東西,隔一陣子文件又會被加入,因為病毒文件已經散佈在很多個文件之中,還會不斷更改和製造其他病毒文件,如何查找出來呢?有幾個很好的指令command line 可以用:

可以用putty 進入主目錄,然後輸入

grep –include=\*.php -rnw -e “64_decode”

grep –include=\*.php -rnw -e “GLOBALS\[”

 

是因為病毒文件很多都有eval(base64_decode 這個function,全部搜索一下,然後每個都打開來看看,很容易找出大部分病毒文件

還有一個指令,雖然沒什麼大用處,不過可以將文件按日期排列,找出最近更新過的文件

find . -printf “%T@ %Tc %p\n” | sort -n

記得再看看.htaccess 文件是否被更改,因為這個文件可以更改網頁瀏覽目錄

Joomla 與wordpress 又一分水嶺

最近比較繁忙,很少上來打文章,一直用開的Joomla 系統和wordpress 都出現不少系統漏洞,不少朋友的網站還在使用joomla 1.5,已經停止支援很長一段時間,joomla 2.5 也是停止了大半年,現在已經joomla 3.4.x。而wordpress 也不斷升級,有朋友都覺得這些升級很煩惱,部分已經停止升級,舊系統的朋友,則頭痛如何將data 搬遷去新的系統,這些日子做了一些測試,試著將joomla 1.5 , joomla 2.5 搬去joomla 3,成績還算不錯。

Joomla 和 WordPress 的特性已經開始大差別了,Wordpress 的更新升級,內容識別十分簡單,基本已經滿足個人用戶體驗,用了1小時,就教會了一個比較大年紀的人使用wordpress 打文章,十分簡單。但joomla 在用戶體驗上沒有做出太大的改善,基本還是要靠插件來實現。

Joomla 在插件上的選擇要十分小心,在1.5 和2.5 時,由於 joomla 的內容編輯器十分難用,因此很多人都用了k2 插件,但時間多了,內容多了,在你要升級joomla 3時,會發現 把joomla k2 內容返回到 原來的內容系統是一個需要收費的服務,雖然我之前的文章有教過如何過渡,其方法依然可以。 Joomla 在升級方面還有很多不明因素,很多的錯誤,而wordpress的速度快,而且自動更新和向下兼容能力很高,對於個人用戶來說,現在我只會選擇wordpress,對於商業,Joomla 我還是比較有保留,因為太難教了,wordpress 的用戶體驗還是贏了一條街,速度也是,假如你現在在煩惱搬家,會不會考慮一下把Joomla 搬去wordpress呢?

本人依然使用Joomla,Wordpress,始終還是比較成熟的2個系統。

joomla 被hack jce editor 累事

之前發現朋友網站被Hack 了,奇怪這個網站是用joomla 系統,應該安全性是不錯的,但為何會被Hack 了呢? 馬上聯繫上,并登入伺服器查看Log。 發現安全記錄沒問題,沒被破解密碼,伺服器安全,那麼就是joomla 這套系統有問題,google了一下,就發現了hmei7這個hack joomla 的東西。

hmei7 是利用了joomla 的編輯器JCE, 因為JCE可以上載檔案,并可以改名之類。假如伺服器支援su_php,那麼權限就更大。

這個hack主要是用JCE的漏洞進行攻擊,把一個txt或gif檔案上載到伺服器,然後改名成php後執行,就會把首頁改成被hack的頁面。

拯救不難,administrator是沒有被hack的,可以繼續登入,進去把JCE升級到最新或者停用。然後下載新的joomla 安裝包,取代index.php, config 檔案,config 檔案記住要把自己的設定值拷貝過去。

接著就是移除上載上去的檔案,大多在images, cache,tmp 裏面,因為這些都可以寫入,有.htm 的檔案,也有是php 檔案。

大家記得多更新插件

joomla 1.5 升級2.5 k2 問題

在上一篇joomla 1.5 升級2.5 中提到直接安裝k2就會顯示內容,不過我沒完整去測試k2 的功能,只測試了發表文章,不過今天一試k2創建新的類別,發現有數據庫錯誤,漏了language,這應該是升級文件的數據庫語句沒有完整執行,打開k2 的安裝文件,把它的數據庫升級語句手動執行了一下,joomla 2.5 k2 無法新增類別的問題就解決了。

ALTER TABLE j17_k2_categories ADD `language` CHAR(7) NOT NULL
ALTER TABLE j17_k2_categories ADD INDEX (`language`);
ALTER TABLE j17_k2_categories ADD `language` CHAR(7) NOT NULL;
ALTER TABLE j17_k2_items ADD `featured_ordering` INT(11) NOT NULL default ‘0’ AFTER `featured`;
ALTER TABLE j17_k2_items ADD `language` CHAR(7) NOT NULL;
ALTER TABLE j17_k2_items ADD INDEX (`language`);

記得把j17 換成你自己數據庫的表頭,

joomla 1.5 升級2.5

Joomla 已經由1.5 升級到2.5,中間版本有1.6,1.7,Joomla 也宣佈了不會再對1.5再進行升級,因此想要繼續有更好的系統使用,必須升級到1.7或最新的2.5版本。筆者使用了joomla 1.5系統,連k2 V2.3,phocagallery 2.8.0版本,這次插件已經提供了joomla 2.5版本,因此可以放心升級,但如何升級呢?筆者在此作為介紹,但必須注意的是,你的系統和我的不一樣,升級的方法也有點不同,本文只作為參考,很多問題還是要根據錯誤來分析解決。好,馬上開始升級joomla 1.5 到2.5版本。

Joomla 1.5 升級2.5

首先在joomla 安裝Akeeba Backup進行全面備份,以防萬一。用akeeba backup 的好處很多,除了一鍵備份,還原也可以用https://www.akeebabackup.com/download/akeeba-kickstart.html 進行還原,十分方便,適合遷移到任何站點。

安裝jupgrade for joomla 1.5,http://redcomponent.com/jupgrade,我安裝的是2.5.0 版本,成功安裝后,選擇extensions=> plugin manager=>system-mootools upgrade, enabled,開啟mootools 動態更新

選擇components-> jUpgrade,就按start upgrade, 然後等待下載2.5,接著自動升級

最後升級后,會到了一個jupgrade的後臺,你可以看看地址,假如原來是http://a/administrator/,現在就會變成http://a/jupdated/administrator/,記得這個後臺與原來的不同,因為他拷貝了一份過去,保留了原來的文件。

數據庫也做了改變,原來joomla 模式表頭是用jos_開頭,現在升級后用j17_開頭,原來的數據庫表仍然存在。你可以使用phpmyadmin 進行查看。

 

繼續閱讀 joomla 1.5 升級2.5