Bösartige PHP-Datei, die auf meinem Webserver gefunden wurde, muss gereinigt werden und verhindert, dass dies erneut geschieht [geschlossen]

8

Mein Hosting-Provider hat kürzlich meine Website gesperrt, weil etwas darauf riesige Mengen an Spam-E-Mails verschickt hat. Ursprünglich dachten ich und der Provider, dass dies auf eine ungesicherte Form für eine E-Mail-Kampagne zurückzuführen war, die ich ein paar Tage zuvor auf dem Server hatte. Ich habe die Seite mit dem Formular vom Server entfernt, aber der Server hat immer noch Spam-E-Mails gesendet.

Ich habe eine PHP-Datei namens 7c32.php im Ordner "css" im Stammverzeichnis des Servers gefunden. Ich habe es definitiv nicht geschafft. Hier ist der Code, der in der Datei war:

%Vor%

Nach dem Durchlauf durch einen Online-Decoder, ist es das, woraus es entstanden ist:

%Vor%

Ich habe etwas über bösartige PHP-Dateien gelesen und gesehen, dass die eval (und base64_decode-Zeichenfolgen sehr verdächtig waren. Ich habe die Serverprotokolldatei durchgesehen und mehrere Postabfragen mit dieser 7c32.php-Datei von einer IP-Adresse aus Saudi-Arabien gesehen .

Ich habe die PHP-Datei gelöscht, alle veralteten Wordpress-Themes und Plugins (sowie die Plattform selbst) aktualisiert und das Passwort für den FTP-Server und das Wordpress-Administratorkonto auf etwas viel sichereres geändert.

Gibt es noch etwas, das ich tun kann, um sicherzustellen, dass mein Server sicher ist? Ich bin auf der Suche nach diesen base64 und eval (Strings in jeder anderen PHP-Datei auf dem Server, aber abgesehen davon habe ich keine Ideen.)

Dieses PHP-Skript scheint zu kurz zu sein, um Schaden anzurichten, aber was kann sonst noch alles von dieser Spam-Mail versenden?

Jede Hilfe würde sehr geschätzt werden.

    
redshirt1000 04.06.2013, 05:18
quelle

2 Antworten

2

eval() ist ein sehr gefährliches kleines Sprachkonstrukt, da es praktisch jeden PHP-Code ausführen kann, der ihm als String übergeben wird. Es könnte also durchaus sein, dass das Skript die Mail sendet, obwohl das Versenden von Spam eigentlich nicht möglich ist -destructive soweit was eval() konnte tun.

Wenn Ihre Seite die Berechtigung hatte, jede Datei in Ihrem Web-Root zu löschen, wäre eval() auch in der Lage, dies zu tun, nur indem jemand den richtigen Befehl über POST an das Skript sendet.

Wenn Sie wirklich sicherstellen wollen, dass es der Code ist, der die E-Mail versendet, legen Sie sie zurück, aber ändern Sie sie zu Ihrem Vorteil. Beenden Sie die Verwendung von eval() und speichern Sie stattdessen die POST-Daten in einer Datenbank oder Textdatei. Nur so können Sie genau wissen, wofür dieser Code verwendet wird.

    
Ken Herbert 04.06.2013, 05:30
quelle
1
  

Dieses PHP-Skript scheint zu kurz zu sein, um Schaden anzurichten, aber was kann sonst noch alles von dieser Spam-Mail versenden?

Wie glauben Sie, dass dieser Code zu kurz ist, um ihn zu beschädigen? Es ist der schlechteste Code dort mit eval ()

  

Das Konstrukt eval () ist sehr gefährlich, weil es die Ausführung von beliebigem PHP-Code erlaubt. Seine Verwendung wird daher abgeraten. Wenn Sie sorgfältig überprüft haben, dass es keine andere Möglichkeit als die Verwendung dieses Konstrukts gibt, achten Sie besonders darauf, dass keine vom Benutzer bereitgestellten Daten in das System eingegeben werden, ohne es zuvor ordnungsgemäß zu validieren.

Sie können jeden PHP-Code mit dem too short -Code ausführen. Eval ist BÖSE. Erlaube keine Datei-Upload-Berechtigungen ohne Validierung

  

Aber was kann sonst noch diese ganze Spam-Mail versenden?

Dasselbe sehr eval code sendet E-Mails. Sie posten E-Mail-Code und es führt es wiederum aus und sendet die E-Mail

    
Hanky Panky 04.06.2013 05:29
quelle

Tags und Links