Schützen Sie die Website vor Backdoor / PHP.C99Shell alias Trojan.Script.224490

8

Meine Website wurde von einem Trojaner-Skript infiziert.

Jemand hat es geschafft, eine Datei namens "x76x09.php" oder "config.php" in das Stammverzeichnis meines Webspace zu laden. Seine Größe ist 44287 Bytes und seine MD5-Prüfsumme ist 8dd76fc074b717fccfa30b86956992f8. Ich habe diese Datei mit Virustotal analysiert . Diese Ergebnisse sagen, es ist "Backdoor / PHP.C99Shell" oder "Trojan.Script.224490".

Diese Datei wurde im selben Moment ausgeführt, als sie erstellt wurde. Also muss es automatisch passiert sein. Diese Datei hat den folgenden bösartigen Code am Ende jeder index.php auf meinem Webspace hinzugefügt.

%Vor%

Nachdem dieser Code auf meiner Seite war, meldeten Benutzer ein blaues Panel, das in Firefox auftauchte. Er bat sie, ein Plugin zu installieren. Jetzt haben einige von ihnen Exploit.Java.CVE-2010-0886.a auf ihrem PC.

Die Infektion ist passiert, obwohl ich allow_url_fopen und allow_url_include ausgeschaltet habe. Und mein Hoster sagt, dass die Datei nicht per FTP hochgeladen wurde.

Meine Fragen sind also:

  • Was macht der bösartige Code? Wie ist es codiert?
  • Wie konnte die entfernte Datei ("x76x09.php" oder "config.php") auf meinen Webspace gelangen? SQL-Injektion? Virus auf meinem eigenen PC?
  • Wie kann ich meine Website in Zukunft vor solchen Angriffen schützen?

Vielen Dank im Voraus! Ich brauche wirklich Hilfe.

Diese Frage ist ähnlich. Aber es ist mehr wie ein Bericht. Ich wusste nicht, dass es von Anfang an ein Virus ist. Also bezieht sich diese Frage hier auf den Virus selbst, die andere Frage nicht.

    
caw 04.08.2010, 22:13
quelle

3 Antworten

6

Ihre Website wurde mit dem Exploit-Code gehackt.

  1. Sie müssen alles aktualisieren, einschließlich aller PHP-Bibliotheken, die Sie mögen installiert haben.

  2. Führen Sie phpsecinfo aus und entfernen Sie alle rot und so viel Gelb wie möglich durch Ändern Ihrer .htaccess oder php.ini.

  3. Schreibrechte von allen entfernen Dateien und Ordner Ihre Web-Root ( chmod 500 -R /var/www && chown www-root /var/www ) sollte der Chown sein sei was auch immer Benutzer php so ausführt Mach ein <?php system('whoami');?> auf finde das heraus.

  4. Ändern Sie alle Passwörter und verwenden Sie sftp oder ftps, wenn du kannst.

  5. Entfernen Sie FILE Privilegien von Ihrem MySQL-Konto, dass Ihr PHP Anwendung verwendet.

rook 04.08.2010, 22:39
quelle
7

Viele der gehackten Websites sind das Ergebnis eines Virus auf einem PC, der FTP-Dateien auf der infizierten Website verwendet. Der Virus stiehlt das FTP-Passwort auf verschiedene Arten - hauptsächlich aber zwei.

Wenn Sie ein kostenloses FTP-Programm wie FileZilla verwenden, sollten Sie zunächst wissen, dass diese Programme ihre gespeicherten Anmeldeinformationen in einer einfachen Textdatei speichern. Es ist einfach für den Virus, diese zu finden, sie zu lesen und die Informationen an einen Server zu senden, der sich dann mit gültigen Anmeldeinformationen bei FTP anmeldet, bestimmte Dateien auf sich selbst kopiert, sie infiziert und sie dann zurück an die Website sendet. Oft kopiert es auch diese "Hintertür" -Shellskripte auf die Website, so dass die FTP-Passwörter bei einer Änderung immer noch die Site neu infizieren können.

Der Virus "schnüffelt" auch den FTP-Verkehr. Da FTP alle Daten einschließlich Benutzername und Passwort im Klartext übermittelt, ist es für den Virus einfach, die Informationen auf diese Weise zu sehen und zu stehlen.

Wenn wir jedoch eine Hintertür gesehen haben, die die Infektion verursacht, ist dies meist das Ergebnis einer Sicherheitslücke bei der Remote File Inclusion irgendwo auf der Site. Die Hacker versuchen ständig, eine URL hinzuzufügen, die auf eine ihrer Hintertüren bis zum Ende einer Anforderungszeichenfolge zeigt. In Ihren Zugriffsprotokollen sehen Sie vielleicht so etwas wie:

/path/folder/another/folder/file.php? Ссылка ????

Wo die Pfad / Ordner-Zeichenfolge nur zu Demonstrationszwecken dient.

Manchmal funktioniert dieser Befehl und sie können id.txt auf die beabsichtigte Website kopieren und haben somit ein Backdoor-Shell-Skript, mit dem sie die Dateien manipulieren können.

Ändern Sie alle Passwörter - FTP, Datenbank, cPanel oder andere administrative Schnittstelle.

Scannen Sie alle PCs auf Viren.

Wechsel zu SFTP.

Überprüfen Sie alle Ordner auf 755 Berechtigungen und alle Dateien auf 644. Dies ist der Standard.

Wenn es eine SQL-Injektion wäre, wäre die Infektion nicht am Ende der Datei. Es wäre irgendwo ein SQL-Aufruf, um den Inhalt zu generieren.

Ja. Mit den heutigen Hintertüren kann der Angreifer die config.php-Dateien, in denen Ihre MySQL-Daten gespeichert sind, schon gesehen haben.

Ändern Sie alle Passwörter.

    
WeWatchYourWebsite 05.08.2010 23:25
quelle
0

Sie haben wahrscheinlich einen Upload-Mechanismus auf Ihrer Website, der nicht richtig gefiltert wird. Wenn Sie zum Beispiel ein Profilbild verwenden können, könnte jemand eine PHP-Datei hochladen und eine Möglichkeit finden, es auszuführen und die Kontrolle über Ihre Website zu erlangen.

x76x09.php ist ein unzensierter Verzeichnis-Browser / Uploader, mit dem der bösartige Uploader die volle Kontrolle über Ihre Website erlangen kann.

Stellen Sie sicher, dass Sie alle Methoden zum sofortigen Hochladen von Dateien auf Ihren Server vorübergehend deaktivieren und alle Instanzen von bösartigem Code in ALLEN Dateien löschen.

    
Kranu 04.08.2010 22:22
quelle

Tags und Links

Django: Verwenden von Annotate, Count und Distinct in einem Queryset Sollten bei der Implementierung der Abhängigkeitsinjektion Ausnahmen injiziert werden?