當我今天回家時,我發現我的所有PHP文件感染Godaddy Linux主機。下面的代碼插入在所有文件的開頭:PHP eval + gzinflate感染 - 攻擊向量是什麼?
/**/ eval(base64_decode("aWYoZnVuY3....")
根據日誌的受感染的代碼無法運行:
的eval()'d代碼行1:gzinflate()函數.gzinflate]:數據錯誤
不過,我想要防止這種情況再次發生,但我不知道他們是如何進來的。我有一個FTP訪問(無SFTP),所以理論上他們能夠嗅出密碼,但可能有一個更簡單的解釋。
他們也可以利用Godaddy的設置不安全,但在這種情況下,我不能做任何事情來阻止它。
在我的PHP代碼或配置中可能會出現一個典型的錯誤,使得可以像這樣破解php文件嗎?
似乎是因爲我包括一個PHP文件,這個名字來自url參數,他們在參數中提供了自己的腳本。
我認爲它是安全的,因爲它是在形式
需要「數據/ $參數」;
所以我認爲它只能是一個本地包括他們不能修改。看起來他們給了一個URL作爲$ param的值,它指向一個包含攻擊代碼的外部php文件。我不確定URL是如何正確解決數據/部分的,但這似乎是最有可能的解釋。
有誰知道如何處理URL的情況下?
在我的PHP代碼或配置中可能會出現一個典型的錯誤,它可以破解這樣的PHP文件嗎?
有可能是一個狗屎。但最有可能的是,您的FTP登錄名/密碼被盜:清理您的PC,使用sFTP並更改您的密碼以確保安全。
難道在我的PHP代碼或配置中會出現一個典型的錯誤,使得像這樣破解php文件成爲可能嗎?
是的,它可能是 - 但沒有檢查每一行代碼最初部署它很難說。請注意,爲了重新編寫代碼,除了找到後門以外,這些文件必須已被運行進程的uid寫入。如果後門程序在您的代碼中存在漏洞,那麼根據定義,GoDaddy的安裝程序出現了一些問題,以允許Web服務器uid對您的文件擁有寫入權限。
但是祝你好運,讓他們解決它。
而且,當然,攻擊者可能通過不同的路線進入。
C.
您的網站正在被黑客入侵幾千臺服務器的自動代理(自動黑客或蠕蟲)的攻擊。這是由開發人員引入的代碼庫中的漏洞造成的。儘管流行的觀點認爲,但這是SQL注入的可能性極小,因爲使用像這樣的mysql數據庫很難獲得完整的PHP遠程代碼執行。
更改您的FTP密碼。儘可能使用SFTP,FTP非常不安全,任何人都不應該因任何原因使用FTP。事實上,我只想與一家真正關心安全性的託管公司合作。
當我在過去清理網站時,我看到了phpmailer的問題(這個項目是由延遲的恆河猴編寫的,大約一百萬臺服務器因爲這個垃圾而被黑客攻擊)。如果你更新phpmailer,你至少可以在6個月內再次被黑客入侵。
第二個地方是FCKEditor,這是一個非常不安全的項目。默認情況下,它不會引入漏洞,但如果您打算使用它,那麼您可能將其配置爲非常不安全。 SDL或簡單的目錄列表也可能有問題,但不太可能。
基本上確保您所有的PHP庫和所有安裝的PHP應用程序都是最新的。這包括CMS的Joomla和PHPBB等論壇。
最終的解決方案是聘請專業人士。網絡應用程序可能會出錯,您需要有經驗的人員清理被黑網站。我知道我可以修復firealwaysworks(at)gmail.com的問題。
這些文件是否具有公共或組寫入權限?或只是老闆? – Anthony 2010-02-03 12:43:12
這些文件是644,所以羣組只能讀取它們 – Tom 2010-02-03 13:01:17
這看起來像我之前見過的一種模式。在這種情況下,FTP密碼被FTP客戶端機器上的惡意軟件嗅探到。 – Jacco 2010-02-03 13:11:30