問題：

私のウェブスペースには、すべてこれで終わるPHPファイルがあります。

この行の前に、ファイルにHTMLコードも含まれています。

もちろん、ブラウザの出力はこれで終わります。

しかし、昨日、突然、最後に悪意のあるコードがいくつかありました。私のindex.phpの出力は次のとおりです。

Webスペース（FTP経由でダウンロード）でファイルを開いたところ、誰かがこのコードをファイルに直接挿入しているのがわかりました。

これはどのように起こりますか？

私が想像できる唯一の方法：

• 誰かが私のFTPパスワードを取得しました。しかし、彼はそれを1つのファイルにまとめただけではありませんでした。彼はもっと多くのダメージを与えることができたでしょう。だから私はこれが事実だとは想像できません。
• 私は自分のPCにウイルスを持っています。編集にはNotepad++を使用し、アップロードにはFileZillaを使用しています。たぶん、これらのプログラムも汚染されていて、私は悪意のあるコードをアップロードしました-知らないうちに。
• 誰かがセキュリティホール（XSS）を使用して、そのコードをページに配置しました。しかし、彼はそれをファイルに正しく入れることができなかったでしょう？

症状：

ユーザーは、Firefoxで青いパネルがポップアップすることを報告しました。プラグインをインストールするように依頼しました。現在、それらの一部はPC上にExploit.Java.CVE-2010-0886.aを持っています。

これは悪意のあるコードによるものですか？コードは正確に何をしましたか？

手伝って頂けますか？

私を助けてください、私は本当に必死です。

私がどうやってそれを手に入れることができたのか知っているなら、たぶんもう一つ質問があります：将来このようなことをどうやって防ぐことができますか？

編集＃1：

Webスペースのルートディレクトリに「x76x09.php」というファイルが見つかりました。ファイルサイズは44.281バイトです。ダウンロードして開こうとしました。しかし、私のウイルス対策ソフトウェアは、それがトロイの木馬（Trojan.Script.224490）だと言っていました。このファイルが実行され、すべてのディレクトリの「index.php」に悪意のあるコードが追加されたと思います。これは役に立ちますか？トロイの木馬はどのようにして私のWebスペースに到達することができますか？これはよく知られているウイルスですか？

編集＃2：

私のホスティング業者は、ファイルがFTP経由でアップロードされていないことを確認できると言っています。そのため、FTP経由では感染は発生しませんでした。私のホスティング業者によると、それは安全でないスクリプトであるに違いありません。

編集＃3：

PHPSecInfoによるセキュリティホール：

• allow_url_fopen = 1
• allow_url_include = 1
• export_php = 1
• file_uploads = 1（これは、悪意のある「x76x09.php」ファイルのせいですか？）
• group_id = 99
• user_id = 99

編集＃4：

Webサーバーで実行されたファイルを分析しました。結果は次のとおりです。

したがって、このウイルスは次のように知られているようです。

• PHP / C99Shell.BF
• バックドア/PHP.C99Shell
• BackDoor.Generic_c.CQA
• Trojan.Script.224490
• Exploit.PHP.635
• Backdoor.PHP.C99Shell.bf
• Trojan.Script.224490

それらのいくつかは、悪意のあるコードを追加した私のWebスペースに悪意のあるファイルを引き起こす可能性がありますか？

私の友人は ovh.com に Web サイトを持っています。数日前から、このサイトは Google によって危険であるとフラグが付けられています。

私はファイルを調べました (サイトには html、css、pjg のみが含まれています)。コードの新しい行のようです:

(正確な URL は覚えていません) が一部の html ページに追加されています。これは明らかに、ページが表示されたときに実行されるウイルスです。

この行を削除してもう一度ファイルをスキャンすると問題ありません。

これをサーバー上のファイルにどのように追加できますか? そのようなことを防ぐために何かすることはありますか？（.htaccessなどについて考えています）。ftp ID がどのように盗まれたかはわからないので、このコードの挿入は別の場所から行われたに違いありません。

助けていただけますか？

どうもありがとう、

リュック

彼らは同じですか？

長いバージョン：

アセンブリで、Windowsマシンで、1+1を追加してレジスタに保存するだけの小さなアプリを作成したとします。次に、Linuxマシンでまったく同じコードを記述します。それはうまくいくでしょうか？

ハードウェアレベルでは同じマシンなので、「ハードウェアの言語」（不正確さを許す）は同じになるので、そう思います。

したがって、Windowsを標的とするウイルスを考えていますが、アセンブリで記述されているのは、Windowsウイルスだけではありません。

したがって、私のサイトは、サイト内のスクリプトに付着したある種のトロイの木馬またはウイルスに感染していると確信しています。Drupalベースのサイトを更新しようとするたびに、このばかげた「i'mhere」メッセージが表示された白い画面が表示されます。リロードすると、変更が有効になりますが、変更が保存されると、これが何をしているのかわかりません。これは、サイトの管理、IEによる新しいコンテンツの投稿、モジュールのアクティブ化/非アクティブ化などのときにのみポップアップします。

問題は、これを削除する方法や場所がわからないことです。ソースコードは悪意のあるコードを参照していません。この問題の答えを見つけようとして私が見たのは、iFrameリンクの種類のトロイの木馬ではありません。

私が試したこと：

-コンピュータを複数回スキャンしてウイルスを検出しました（おそらく、これらは安全でないFTPデータを攻撃し、クライアントを乗っ取って悪意のあるコードをアップロードします）

-FTPクレデンシャルを変更しました

-管理者ユーザーのパスワードをサイトのバックエンドに変更しました（Drupalログイン）

-Drupalを更新しました

これまでのところ何も機能しておらず、私はこれを理解しようとしています。正しい方向へのヒントをいただければ幸いです。

TBS WMP プラグインを削除するには? 私のコンピューターにインストールされたマルウェアのようです。どうもありがとう！

私のウェブサイトはトロイの木馬のスクリプトに感染していました。

誰かが「x76x09.php」または「config.php」というファイルを作成/アップロードして、私のWebスペースのルートディレクトリに入れました。サイズは44287バイトで、MD5チェックサムは8dd76fc074b717fccfa30b86956992f8です。Virustotalを使用してこのファイルを分析しました。これらの結果は、「Backdoor/PHP.C99Shell」または「Trojan.Script.224490」であることを示しています。

このファイルは、作成されたのと同じ瞬間に実行されました。したがって、それは自動的に発生したに違いありません。このファイルは、私のWebスペースのすべてのindex.phpの最後に次の悪意のあるコードを追加しました。

そのコードが私のページに表示された後、ユーザーはFirefoxで青いパネルがポップアップすることを報告しました。プラグインをインストールするように依頼しました。現在、それらの一部はPC上にExploit.Java.CVE-2010-0886.aを持っています。

allow_url_fopenとallow_url_includeをオフにしましたが、感染は発生しました。そして私のホスティング業者は、ファイルがFTP経由でアップロードされなかったと言っています。

だから私の質問は：

• 悪意のあるコードは何をしますか？どのようにエンコードされますか？
• リモートファイル（"x76x09.php"または"config.php"）はどのようにして私のWebスペースに届きますか？SQLインジェクション？自分のPCでウイルス？
• 将来、このような攻撃からWebサイトを保護するにはどうすればよいですか？

事前にどうもありがとうございました！本当に助けが必要です。

この質問も同様です。しかし、それはレポートのようなものです。最初からウイルスだとは知りませんでした。したがって、ここでのこの質問はウイルス自体に言及していますが、他の質問には言及していません。

デルファイウイルスが私の.dcuに感染したのではないかと思ったので、DelphiのC：\ Program Fiels ... \ source \ Win32 \ rtl\winにあるwindows.pasを再コンパイルしました。結果は次のとおりです。

これがvirustotalの結果です

http://www.virustotal.com/analisis/419f755ae57e6ba469f5c6e36305153dc298517edae2f48ae24af6682335260b-1281224937

私は自分のコンピューターを改造し、Delphiも再インストールしました。Delphi2007を使用しています。

私は、ユーザーがコンテンツをサイトにアップロードおよび送信できるようにするJavaベースのWebアプリを作成しています。ただし、利用可能になる前に、ウイルススキャンを実行して、悪意のあるコンテンツが投稿されていないことを確認したいと思います。Java経由でアクセスできるアンチウイルススキャナーを知っている人はいますか？アプリはLinux（CentOS 5.5 x64）でホストされ、Tomcat6.xで実行されます。アドバイスや推奨事項をいただければ幸いです。

カスタム ビルドの Web アプリケーションで使用されるブログ投稿のコメントを格納するための InnoDB テーブルがあります。

最近、コメントの自動増分主キー値が 1 ではなく 2 ずつ増加していることに気付きました。

また、最後のいくつかのコメンターのフットプリント署名 (例: ip、セッション ID、uagent 文字列など) を記憶するために使用される別の MySQL テーブルで、PHP セッションの名前が「viruskinq」で始まることに気付きました。常に 16 進数の md5 のような文字列になります。

Google は、「viruskinq」の結果を 2、3 しか得ていません。すべてトルコ語です。興味深いのは、約 1 年前に問題の Web サイトがトルコの悪党によって改ざんされたことです。(同じ会社がホストしている他の Web サイトも当時改ざんされていたため、私のアプリにセキュリティ ホールがあったため、攻撃者が成功しなかったことは 100% 確信しています。)

このサイトは、Linux を使用する共有ホスト上にあります。

サーバー自体がまだこれらのハッカーの影響下にある可能性があると思いますか? コメントの id 値を調べたところ、この倍増現象は今年の 5 月から存在していることがわかりましたが、改ざんはほぼ 1 年前に発生しました。

自動インクリメント値の奇妙な動作を説明する他の原因は何ですか? アプリケーションは変更されておらず、古いコメントでは、自動インクリメントされた主キーの値が適切です。

編集：ソリューションの概要

ホスティング会社から、自動インクリメント値が 2 倍になった理由は、マスター/スレーブ MySQL アーキテクトを使用しているためであり、この現象は正常であるとのことでした。

彼らはまた、さまざまなハッカーがサーバー、特に「セッション」を絶えず攻撃しており、それについては何もできないことを認めました.

荷物をまとめて、より良いウェブホストに移動したほうがいいと思います。

ユーザーがサーバー側の Web サイトにアップロードしたファイルをスキャンしたいと考えています。サーバー上で常時実行する必要のない、オンデマンドで実行できるものにしたいと考えています。Windows Server 2008 R2 ではどのようなソリューションを利用できますか? 具体的にどの製品をお勧めしますか？