2008年11月14日 星期五

Joomla 浩劫

Joomla 是個很方便架設網頁的套件包,早先巴肥特用它來架 lab 網頁,當時我是課程助教需要放投影片,所以也有用過。後來這學期重新規劃實驗室的各項服務,我想 web service 這種一定沒人想管就自己攔來弄了,半個學期來我們一直相安無事,直到一個多禮拜前開始出問題了。



最早的問題是網頁的首頁被換成這樣。除了有 HACKED BY NICOMDIAN // DEVTURKLER 的字樣外,還有一張圖。

 tt1

當時我不以為意,猜想是hacker用Joomla的漏洞來發表文章嗆蝦,我就先把文章砍了改天再來更新就好。結果隔一個禮拜,也就是前天,當時正好是心理系電腦概論期中考的前一天,學生們都登入進來抓投影片,後來有個學生加我msn然後通知我課程網頁有問題,結果上去一看更慘,整個網頁就只剩下 HACKED BY NICOMDIAN // DEVTURKLER 這行字,連原本Joomla的template通通都不見了。

隔天,我上網請教google大師,發現有三頁結果,裡面通通都是被 hack 成這個字樣的網站 ...Zzz。皓鈞登入看了一下 index.php 檔發現被改了,我依舊採取姑息策略,請他把 index, index2 換掉,網頁又回來了!不過這次hacker比較積極,今天又再度hack網頁,這次手段更殘忍了,他放了一個很可怕的 flash 在上面一直跑,整個畫面非常的血腥。

 tt2

這次就沒這麼好解決了,因為根目錄下的 index.php 檔案沒有被改過,好吧,剛好週五是我一個禮拜中唯一空閒的日子,就來抓問題。

========= 休息一下分隔線 =========

一開始先冒著中毒的危險開了網頁,趕快拍一張後開原始碼來看,找到flash檔案的檔名是dt.swf,grep 指令幫我找到有問題的檔案是被放在 templates/ja_purity/index.php 裡面,我原本想將整個 templates 下載下來研究看看,結果 ftp 剛抓完,卡巴司機就按喇叭警告我說有木馬程式,在驚魂未定之下我便順手將整個目錄砍了,後來將最新版的 Joomla 放上去後版面配置跟首頁右上的圖都變回預設值。

ubontu本身也patch過了,按 alt+f2 叫出命令列後輸入 gksu "update-manager"後更新所有套件即可。接下來就是看看還會不會出啥問題了。

2 則留言:

Aaa 提到...

我是覺的現在有老師的Blog了
不用這麼花俏的Template來架網頁
乾乾淨淨, 顯示該有的資料就可以了

87showmin 提到...

我想直接用blog當作對外窗口好像還是不太正式,不過是可以考慮慢慢把資料搬到老師的FTP上,目前Joomla除了一些lab資訊外,最重要的資料就是課程投影片,目前這些投影片通通放在Joomla database,把這些資料移到老師server上後Joomla被換掉也沒差。