Meine Website wurde von einem Trojaner-Skript infiziert.
Jemand hat es geschafft, eine Datei namens "x76x09.php" oder "config.php" in das Stammverzeichnis meines Webspace zu laden. Seine Größe ist 44287 Bytes und seine MD5-Prüfsumme ist 8dd76fc074b717fccfa30b86956992f8. Ich habe diese Datei mit Virustotal analysiert . Diese Ergebnisse sagen, es ist "Backdoor / PHP.C99Shell" oder "Trojan.Script.224490".
Diese Datei wurde im selben Moment ausgeführt, als sie erstellt wurde. Also muss es automatisch passiert sein. Diese Datei hat den folgenden bösartigen Code am Ende jeder index.php auf meinem Webspace hinzugefügt.
%Vor%Nachdem dieser Code auf meiner Seite war, meldeten Benutzer ein blaues Panel, das in Firefox auftauchte. Er bat sie, ein Plugin zu installieren. Jetzt haben einige von ihnen Exploit.Java.CVE-2010-0886.a auf ihrem PC.
Die Infektion ist passiert, obwohl ich allow_url_fopen und allow_url_include ausgeschaltet habe. Und mein Hoster sagt, dass die Datei nicht per FTP hochgeladen wurde.
Meine Fragen sind also:
Vielen Dank im Voraus! Ich brauche wirklich Hilfe.
Ihre Website wurde mit dem Exploit-Code gehackt.
Sie müssen alles aktualisieren, einschließlich aller PHP-Bibliotheken, die Sie mögen installiert haben.
Führen Sie phpsecinfo aus und entfernen Sie alle rot und so viel Gelb wie möglich durch Ändern Ihrer .htaccess oder php.ini.
Schreibrechte von allen entfernen
Dateien und Ordner Ihre Web-Root
( chmod 500 -R /var/www && chown
www-root /var/www
) sollte der Chown sein
sei was auch immer Benutzer php so ausführt
Mach ein <?php system('whoami');?>
auf
finde das heraus.
Ändern Sie alle Passwörter und verwenden Sie sftp oder ftps, wenn du kannst.
Entfernen Sie FILE
Privilegien von Ihrem
MySQL-Konto, dass Ihr PHP
Anwendung verwendet.
Viele der gehackten Websites sind das Ergebnis eines Virus auf einem PC, der FTP-Dateien auf der infizierten Website verwendet. Der Virus stiehlt das FTP-Passwort auf verschiedene Arten - hauptsächlich aber zwei.
Wenn Sie ein kostenloses FTP-Programm wie FileZilla verwenden, sollten Sie zunächst wissen, dass diese Programme ihre gespeicherten Anmeldeinformationen in einer einfachen Textdatei speichern. Es ist einfach für den Virus, diese zu finden, sie zu lesen und die Informationen an einen Server zu senden, der sich dann mit gültigen Anmeldeinformationen bei FTP anmeldet, bestimmte Dateien auf sich selbst kopiert, sie infiziert und sie dann zurück an die Website sendet. Oft kopiert es auch diese "Hintertür" -Shellskripte auf die Website, so dass die FTP-Passwörter bei einer Änderung immer noch die Site neu infizieren können.
Der Virus "schnüffelt" auch den FTP-Verkehr. Da FTP alle Daten einschließlich Benutzername und Passwort im Klartext übermittelt, ist es für den Virus einfach, die Informationen auf diese Weise zu sehen und zu stehlen.
Wenn wir jedoch eine Hintertür gesehen haben, die die Infektion verursacht, ist dies meist das Ergebnis einer Sicherheitslücke bei der Remote File Inclusion irgendwo auf der Site. Die Hacker versuchen ständig, eine URL hinzuzufügen, die auf eine ihrer Hintertüren bis zum Ende einer Anforderungszeichenfolge zeigt. In Ihren Zugriffsprotokollen sehen Sie vielleicht so etwas wie:
/path/folder/another/folder/file.php? Ссылка ????
Wo die Pfad / Ordner-Zeichenfolge nur zu Demonstrationszwecken dient.
Manchmal funktioniert dieser Befehl und sie können id.txt auf die beabsichtigte Website kopieren und haben somit ein Backdoor-Shell-Skript, mit dem sie die Dateien manipulieren können.
Ändern Sie alle Passwörter - FTP, Datenbank, cPanel oder andere administrative Schnittstelle.
Scannen Sie alle PCs auf Viren.
Wechsel zu SFTP.
Überprüfen Sie alle Ordner auf 755 Berechtigungen und alle Dateien auf 644. Dies ist der Standard.
Wenn es eine SQL-Injektion wäre, wäre die Infektion nicht am Ende der Datei. Es wäre irgendwo ein SQL-Aufruf, um den Inhalt zu generieren.
Ja. Mit den heutigen Hintertüren kann der Angreifer die config.php-Dateien, in denen Ihre MySQL-Daten gespeichert sind, schon gesehen haben.
Ändern Sie alle Passwörter.
Sie haben wahrscheinlich einen Upload-Mechanismus auf Ihrer Website, der nicht richtig gefiltert wird. Wenn Sie zum Beispiel ein Profilbild verwenden können, könnte jemand eine PHP-Datei hochladen und eine Möglichkeit finden, es auszuführen und die Kontrolle über Ihre Website zu erlangen.
x76x09.php ist ein unzensierter Verzeichnis-Browser / Uploader, mit dem der bösartige Uploader die volle Kontrolle über Ihre Website erlangen kann.
Stellen Sie sicher, dass Sie alle Methoden zum sofortigen Hochladen von Dateien auf Ihren Server vorübergehend deaktivieren und alle Instanzen von bösartigem Code in ALLEN Dateien löschen.
Tags und Links javascript php security virus trojan