web-dev-qa-db-ja.com

クライアントWebサイトが侵害され、奇妙な.phpファイルが見つかりました。何か案は?

私はWeb開発会社のサポート業務を行っていますが、今日、クライアントの1つのWebサイトで「hope.php」という名前の不審なファイルを見つけました。このようなサイトでは、通常、ハッキングされたことを示しています)。

Googleで侵害されたサイトを検索すると、次のようなseo用語の異なるグループを生成するように見えるさまざまなクエリ文字列でhope.phpにリンクする多数の結果が得られました。

search results

(上から2番目の結果は正当なものであり、残りのすべてはそうではありません)

「hope.php」のソースは次のとおりです。 http://Pastebin.com/7Ss4NjfA

そして、ここにeval()sをecho()に置き換えることで得られたデコードされたバージョンがあります: http://Pastebin.com/m31Ys7q5

これがどこから来たのか、それが何をしているのか?もちろん、サーバーからファイルを既に削除しましたが、このようなコードを見たことがないので、その起源についてはかなり興味があります。このようなことに関する詳細情報はどこで入手できますか?

phpsecurityseo
4
Kevin Strong

明らかに自分のものではない奇妙なファイルが見られる場合、あなたのウェブサイトは危険にさらされています。

実行する手順:

  1. すべてのftp/loginsを変更します:これにより、ftpアカウントが侵害された場合、ハッカーはもう一度パスワードを見つける必要があります。
  2. スクリプトを保護するnmap または Netsparker のような侵入テストを使用して、SQLインジェクションの脆弱性、xssを確認することをお勧めしますインジェクションの脆弱性、またはその他。
  3. ルートキット またはコントロールキットからのものである可能性があります。これは、サーバー全体が危険にさらされていることを意味します。 Apacheサーバーを最初から再構築するか、バックアップからShebang全体を復元する必要があります
  4. すべての人を再確認します:あなたのサイトで働いているパートナーを非難していませんが、あなたが彼らがシェアのような愚かなことをしていないことを確認する必要がありますあいまいなサイトでのパスワード。
  5. サーバー上の「hope.php」へのアクセスを停止します:「hope.php」という名前のファイルへのアクセスを拒否するように.htaccessファイルを設定します。

このコードはそれを行う必要があります(テストしませんでしたが、動作するはずです):

<Files ~ "hope\.php$">
Order allow,deny
Deny from all
</Files>
  1. 検索を行う:他の奇妙なファイルがサーバー上にないことを確認し、サーバー上にあるすべてのファイルが自分のものであることを確認します。
  2. ファイルを完全にスクランブル解除します:名前または作成者を見つけることができれば、ソースをより適切に判断できます。多くの場合、このようなスクリプトの作成者は自己陶酔的であり、ほとんどの場合、どこかに自分自身に対するクレジットが含まれます。
  3. 最も重要なことは、あなたが見つけたものに過度に反応しないことです:私のサイトは以前にハッキングされており、そのphpファイルは難読化されていません。その中には、$backdoorのようなものとそのようなものが怖く聞こえるという名前の強力に暗号化された変数がありました。解読すると、彼らはシェルスクリプトのhtmlテンプレートの一部になりました。 $backdoor変数は、実際はただ<img src="http://linktoheaderimage" />でした。

これは私があなたに提供できる最高のアドバイスです。あなたの問題が解決されることを望みます。

編集:私は実際に先に行って、スクリプトを codepad で実行しましたが、それは何もほとんどしないようです。それに注意してください。すべてのコードを完全に調べて、このことで何が起こるのかを判断できるかどうかを確認します...

5
Cyclone

これは、FTP情報を盗むことによって行われたハッキン​​グされたサーバーの例です。完全に削除する方法に関するすべての質問は、ここで見つけることができます: http://blog.unmaskparasites.com/2011/05/05/thousands-of-hacked-sites-seriously-poison-google-image- search-results/comment-page-1 /

最も重要なこと:

サイトが、悪意のある誘導ページをホストする侵害サイトの1つである場合:

  • マルウェアについてコンピューターを徹底的にスキャンする
  • コンピューターがクリーンになったら、すべてのサイトのパスワードを変更します(サイトの場合でも)
    侵害されていないようです
    まだ)。 FTPにパスワードを保存しないでください
    クライアント–ほとんどのクライアントは保護できません
    マルウェアのパスワード。パスワードマネージャーの使用を検討する(
    KeePass)マスターパスワードですべてのデータを暗号化します。
  • 可能であれば、FTPの代わりにSFTPを使用してください。
  • 次の場合、リライトルールが設定された出入り口の.phpスクリプト、.htaccessファイルを削除
    作成された.log /ディレクトリ
    およびそのすべてのコンテンツ。
  • また、?up100500リクエストを使用してサーバーにアップロードされた疑わしいファイルについてサーバーをスキャンする必要があります。
1
Shaz

おそらく、単なる リンクファーム です。ファイル自体は悪意のあるものではありませんが、そこに到達したので、またはあなたのサーバーを共有している誰かが、どこかにセキュリティホールを持っている可能性が高いです。

0
Frits van Campen