php - PHP ファイルに挿入されたウイルス コード

Question

Linux、Apache、mySQL、および PHP の LAMP で実行されている Web サイトを所有しています。過去 2 ～ 3 週間で、私の Web サイトの PHP および jQuery ファイルが、gumblar.cn というサイトのマルウェアに感染しました。

このマルウェアが私の PHP ファイルにどのように侵入するのか、また、何度も発生しないようにする方法がわかりません。

何か案は？

アップデート：

cpanel のエクスプロイトのようです

Answer 1

あなたのサイトはクラックされているので、クラッカーは単にあなたのファイルを置き換えます。

セキュリティ アラートが発表された場合は常に、Linux OS、Apache、MySQL、PHP、および Web PHP プログラムをアップグレードする必要があります。

定期的にアップグレードせずにオープン サービスを実行している Linux サーバーは、インターネット上で最も脆弱なボックスです。

Answer 2

ここでは、提供された情報に基づいて決定的な解決策を提供できる人はいないため、適切なセキュリティ慣行と標準に従い、弱点をすぐに修正することをお勧めします。

ソフトウェアが最新であることを確認してください。PHPプログラムのエクスプロイトを介してローカルファイルにアクセスすることは非常に可能であるため、実行しているサードパーティのアプリケーション（特にWordpressやphpBBなどの非常に普及しているプログラム）を維持し、できる限りのことを行って、サーバーは正しいバージョンのサービス（PHP、Apacheなど）を実行しています。

強力なパスワードを使用してください。強力なパスワードは、文字の長いランダムなリストです。それはあなたの人生とは何の関係もありません、それはすぐに利用できる頭字語やニーモニックを持たないべきです、それは辞書の単語に似ているべきではありません、そしてそれは異なる文字の健康的な散在を含むべきです。数字、大文字と小文字、記号。また、適度に長く、理想的には26文字を超える必要があります。これは、有能なシステム管理者が攻撃者に対して行動を起こすのに十分な時間、人々があなたの資格情報を強引に押し付けるのを防ぐのに役立つはずです。

ホスティングプロバイダーの管理者と協力して、この特定のケースで何が起こったのかを理解し、それを修正するために何かをします。彼らは異常なことに気づいていないかもしれません。たとえば、簡単なパスワードを持っている場合、この攻撃が信頼できる個人によって行われた場合、またはカスタムPHPアプリケーションにパッチが適用されていないエクスプロイトがある場合、不適切な使用を示すものは何もありません。

共有ホストには、同じローカルマシンにアクセスできる多くの人がいるため、ファイルのアクセス許可や、アプリケーション内および一般的に非常に重要なローカルアクセス可能なエクスプロイトのパッチ適用などがあります。ホストがこれに関して適切なポリシーを持っていることを確認し、どのソフトウェアもローカル接続またはユーザーを明確に信頼していないことを確認してください。

攻撃の性質（この種のことをまとめて実行しているように見えるサイトからのマルウェアのインポート）は、悪用可能なアプリケーションを実行していたか、ユーザー名とパスワードの組み合わせが十分に強力ではなかったことを示していますが、プロバイダーの管理者はこれがどのように起こったかについて正確な詳細を提供できるのは、実際には唯一の人です。幸運を。:)

Answer 3

攻撃された既知の脆弱性を持つアプリケーションがサーバー上にあり、何かが Web サイト上のファイルを変更したり、新しいファイルをインストールしたりする可能性があります。

gumblar.cn で情報を検索すると、JS-Redirector-H というトロイの木馬が使用されているようです。これがここに含まれているかどうかはわかりません。

何が変更されたかを知る方法がない場合、これを修正するには、Web サイトをバックアップから復元する必要があります。ソース管理または最近のバージョンがある場合は、サイト全体の diff を実行できる場合があります。ただし、そもそもこれを可能にしたセキュリティの脆弱性も修正する必要があります。

安全でないアプリであるか、少し前にインストールしたが最近更新されていないアプリである可能性があります。これに不満を持っている何人かの人々は、Gallery (つまり、PHP Gallery) を使用していると述べています。それがつながっているかどうかはわかりませんが。

サーバー管理者でない場合は、サーバー管理者に相談してください。彼らが助けてくれるかもしれません。そのことを知らせるのが賢明でしょう。

Answer 4

Google アドバイザリ: http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=en-US&site=http://gumblar.cn (リンクが機能しない)

まず、ホスティング会社に連絡して、これを報告してください。これがサーバー全体である場合、彼らはそれについて知る必要があります。

このような感染の最も一般的な原因は、一般的な PHP ソフトウェア (PHPBB、Mamboserver、その他の一般的なシステムなど) の脆弱性です。サードパーティの PHP コードを実行している場合は、最新バージョンであることを確認してください。

これがサイトにのみ影響すると判断した場合は、バックアップから復元してください。バックアップがない場合は、持っているものをすべて (おそらくデータベースを移行して) (最新バージョンに) 再インストールし、独自の PHP コード (ある場合) を試してみてください。

Answer 5

PHP プログラムは、実際にはサーバー上で PHP インタープリターによって実行される単純なテキスト ファイルです。アプリケーションが感染している場合、2 つの可能性があると思います。

1.あなたのアプリケーションのセキュリティ ホールを利用してサーバーにコードを挿入したため、PHP ファイルまたはデータベース情報の一部を変更しました。

この場合は、ユーザーから情報を取得するすべての場所 (テキスト入力、ファイルのアップロード、Cookie の値など) を再確認し、すべてが適切にフィルター処理されていることを確認してください。これは、ユーザーから送信されたものをすべてフィルター処理するための非常に一般的なセキュリティ プラクティスです。また、データベース (またはファイル システム) に現在保存されているデータがクリーンであることも確認してください。Zend Frameworkの Zend_Filter コンポーネントを使用してユーザー入力をフィルタリングすることをお勧めします。そこには多くのフル機能のフィルタ ライブラリがあります。

2.サーバー上で何らかのプログラムを実行し、PHP ソース ファイルに影響を与えた可能性があります。どういうわけか、彼らはサーバーで何らかのプログラム/スクリプトを実行することを達成しました。それはあなたのアプリケーションを変更しています。

この場合は、すべてのサーバー プロセスをチェックし、実行中のすべてのプロセスを確認することをお勧めします。これは可能性が低いと思いますが。

Answer 6

わかりました、これはプログラミングの質問ではなく、SO はこの場所ではありません。なぜなら、ここでそのような質問を容認すると、すぐに悪い共有ホスティング アカウントを持つ人々の応急処置/サポート サイトになるからです。

修正する知識がない問題についておそらく本当に気分が悪いと感じている数人の人を断るのは気分が悪いので、私は閉鎖に投票しませんでした。

まず第一に、gumblar.cn をグーグルで検索してください。話しているうちに、役立つ可能性のある投稿がどんどん増えています。

あなたが本当の初心者で、ここでの回答に何も得られないと感じた場合は、次のことを行ってください。

1. 新しいホストを取得する
2. ソフトウェアが安全かどうかがわかるまで、すべてのソフトウェアに関する情報を Google で検索してください。そうでない場合は、開発者が問題を修正するまで使用しないでください。安全でないソフトウェアの例は「Galery」です。
3. すべてのソフトウェアをインストールします (安全なもののみ) FRESH INSTALL!!
4. 静的ファイル (画像など) を新しいサーバーにコピーします。感染する可能性があるため、php スクリプトなどの動的ファイルはコピーしないでください。
5. セキュリティの脆弱性を確認するまでは、独自の PHP スクリプトをアップロードしないでください。これを行う方法がわからない場合は、これらのことを学ぶ前に何もアップロードしないでください。

Answer 7

このウイルス/マルウェアの影響を受けており、現在クリーンアップ中です。これが役立つことを願っています：

1) お使いの PC にトロイの木馬が存在する可能性があります。これを確認するには、単に実行 ([スタート] > [ファイル名を指定して実行...] または Windows キー + R) を実行し、「cmd」または「regedit」と入力します。これらのいずれかが期待どおりにウィンドウを開かない場合は、Js:Redirector トロイの木馬があります。また、ウイルス対策プログラム aVast と Malware Bytes が何らかの理由でアップデートに接続できないことを確認することもできます (卑劣なトロイの木馬)。さらに、コントロール パネルのセキュリティ プログラムが無効になっていることに気付くでしょう。ウイルス保護が無効になっていることを通知する通知がトレイ アイコンに表示されることはありません。

2) これは非常に最近のエクスプロイトであり、どうやら脆弱性 inflash または pdf プラグインのエクスプロイトであるため、Internet Explorer を使用していなくても安全ではありません!

私は、PC の速度を低下させるプログラムが嫌いで、Windows Update を "手動" で実行しており、常駐保護 (すべての Web 接続のスキャンなど) を行っていませんでした。まだブラックリストに登録されていない別のハッキングされたサイト。また、IE 以外のブラウザーには自信がありませんでした。スクリプトの機能などに興味があるため、ブラックリストの警告を無視することがありますが、Windows が実際にどのように機能するかをもう一度忘れてしまいます。結論: Windows Update を自動のままにし、最小限の常駐保護 (aVast Web Shield + Network Shield) を使用します。

3) これは FTP パスワードを送り返すトロイの木馬であるため、パスワードがどれほど優れていても問題ありません。

4) マルウェアまたは aVast を使用して PC の lceanup を試行すると、「.ctv」で終わるファイルが検出されます。5 月 14 日以降の日付のウイルス データベースが必要です。(上記で説明したように) 更新できない場合は、次の手順に従ってください(外挿する必要がありますが、基本的にはファイルがあり、レジストリで指定されている名前は異なる場合があります。一度、HiJackThis を使用して削除します)。このファイルを実行せずにリバウトしても問題ありません)

5) もちろん、パスワードを更新しますが、最初にトロイの木馬が削除されていることを確認してください!

6) 変更されたすべてのページの正確なリストについては、FTP ログを取得してみてください。スクリプト/ハッカーの IP と、変更されたすべてのファイルが見つかります。

7) 「本番」環境の完全なローカル コピーがある場合、サーバー上のすべてのサイトを削除し、すべてのファイルを再アップロードするのが最も安全です。

8) クリーンアップ プロセス中は、感染したサイトにアクセスしないでください。そうしないと、トロイの木馬を再インストールしてしまいます。最新の aVast Home Edition と "Web Shield" 保護を使用している場合、警告が表示され、ブラウザーによるページの実行がブロックされます。

Answer 8

その Web サイト (あなたが言及した gumblar.cn) は、マルウェアのテストを受けています。ここで結果を監視できます: http://www.siteadvisor.com/sites/gumblar.cn/postid?p=1659540

Answer 9

古いホスティングプロバイダーで、このようなことが起こりました。どういうわけか、誰かが何らかの方法で Apache に感染し、すべての PHP ファイルに特別なヘッダーが挿入され、ブラウザーがダウンロードしてブラウザーで実行しようとするようになりました。彼らはそれを修正しましたが、迅速な解決策は、すべての PHP ファイルを削除し、インデックス ファイルをプレーンな HTML ファイルに変更することでした。これで問題が解決するかどうかは、サーバーがどのように感染しているかによって異なります。あなたができる最善のこと、そしておそらく最も責任のあることは、サイトを停止して訪問者を保護することです。可能であれば (テキスト ファイルが感染していない場合)、最近訪問した場合は感染している可能性があることを示すメッセージを表示します。

言うまでもなく、サイトが感染した直後にホスティング プロバイダーをすばやく切り替えました。私のホスティングプロバイダーは他の多くの点でかなり悪かったが、これはほとんど最後のストローだった.