私はWeb開発会社のサポート業務を行っていますが、今日、クライアントの1つのWebサイトで「hope.php」という名前の不審なファイルを見つけました。このようなサイトでは、通常、ハッキングされたことを示しています)。
Googleで侵害されたサイトを検索すると、次のようなseo用語の異なるグループを生成するように見えるさまざまなクエリ文字列でhope.phpにリンクする多数の結果が得られました。
(上から2番目の結果は正当なものであり、残りのすべてはそうではありません)
「hope.php」のソースは次のとおりです。 http://Pastebin.com/7Ss4NjfA
そして、ここにeval()sをecho()に置き換えることで得られたデコードされたバージョンがあります: http://Pastebin.com/m31Ys7q5
これがどこから来たのか、それが何をしているのか?もちろん、サーバーからファイルを既に削除しましたが、このようなコードを見たことがないので、その起源についてはかなり興味があります。このようなことに関する詳細情報はどこで入手できますか?
明らかに自分のものではない奇妙なファイルが見られる場合、あなたのウェブサイトは危険にさらされています。
実行する手順:
このコードはそれを行う必要があります(テストしませんでしたが、動作するはずです):
<Files ~ "hope\.php$">
Order allow,deny
Deny from all
</Files>
$backdoor
のようなものとそのようなものが怖く聞こえるという名前の強力に暗号化された変数がありました。解読すると、彼らはシェルスクリプトのhtmlテンプレートの一部になりました。 $backdoor
変数は、実際はただ<img src="http://linktoheaderimage" />
でした。これは私があなたに提供できる最高のアドバイスです。あなたの問題が解決されることを望みます。
編集:私は実際に先に行って、スクリプトを codepad で実行しましたが、それは何もほとんどしないようです。それに注意してください。すべてのコードを完全に調べて、このことで何が起こるのかを判断できるかどうかを確認します...
これは、FTP情報を盗むことによって行われたハッキングされたサーバーの例です。完全に削除する方法に関するすべての質問は、ここで見つけることができます: http://blog.unmaskparasites.com/2011/05/05/thousands-of-hacked-sites-seriously-poison-google-image- search-results/comment-page-1 /
最も重要なこと:
サイトが、悪意のある誘導ページをホストする侵害サイトの1つである場合:
- マルウェアについてコンピューターを徹底的にスキャンする
- コンピューターがクリーンになったら、すべてのサイトのパスワードを変更します(サイトの場合でも)
侵害されていないようです
まだ)。 FTPにパスワードを保存しないでください
クライアント–ほとんどのクライアントは保護できません
マルウェアのパスワード。パスワードマネージャーの使用を検討する(
KeePass)マスターパスワードですべてのデータを暗号化します。- 可能であれば、FTPの代わりにSFTPを使用してください。
- 次の場合、リライトルールが設定された出入り口の.phpスクリプト、.htaccessファイルを削除
作成された.log /ディレクトリ
およびそのすべてのコンテンツ。- また、?up100500リクエストを使用してサーバーにアップロードされた疑わしいファイルについてサーバーをスキャンする必要があります。
おそらく、単なる リンクファーム です。ファイル自体は悪意のあるものではありませんが、そこに到達したので、またはあなたのサーバーを共有している誰かが、どこかにセキュリティホールを持っている可能性が高いです。