我拥有一个运行在LAMP上的网站 - Linux,Apache,mySQL和PHP。在过去的2-3周内,我网站上的PHP和jQuery文件已被来自名为gumblar.cn的网站的恶意软件感染
我无法理解这个恶意软件是如何进入我的PHP文件的,以及如何防止它一次又一次地发生。
有什么想法吗?
更新:
答案 0 :(得分:22)
您的网站已被破解,因此破解者只需更换您的文件。
每当宣布安全警报时,您应该始终升级您的Linux操作系统,Apache,MySQL,PHP和Web PHP程序。
运行开放服务而不经常升级的Linux服务器是互联网上最容易受到攻击的盒子。
答案 1 :(得分:14)
此处没有人可以根据您提供的信息提供最终解决方案,因此我们建议您遵循良好的安全措施和标准,并立即纠正任何弱点。
确保您的软件是最新的。通过PHP程序中的漏洞获取对本地文件的访问是非常可能的,因此请保留您在其最新版本上运行的任何第三方应用程序(尤其是非常广泛的程序,如Wordpress和phpBB),并尽一切可能确保您的服务器正在运行其服务的正确版本(PHP,Apache等)。
使用强密码。强密码是一个长而随机的字符列表。它应该与你的生活无关,它应该没有现成的首字母缩略词或助记符,它不应该像字典一词,它应该包含不同字符的健康穿插;数字,不同情况的字母和符号。它也应该相当长,理想情况下超过26个字符。这应该有助于防止人们强化您的凭据,以便有足够的时间让有能力的系统管理员对攻击者采取行动。
与托管服务提供商的管理员合作,了解此特定情况下发生的情况,并采取措施予以纠正。他们可能没有注意到任何异常;例如,如果您有一个简单的密码,或者这个攻击是由受信任的个人进行的,或者如果您在自定义PHP应用程序中有未修补的漏洞,则没有任何迹象表明使用不当。
共享主机也有许多人可以访问同一台本地计算机,因此诸如文件权限和在应用程序中修补本地可访问漏洞等内容通常非常重要。确保您的主机有关于此的良好政策,并确保您的软件都没有明确信任本地连接或用户。
攻击的性质(从一个看起来大量做这种事情的网站导入恶意软件)表明您运行的是可利用的应用程序,或者您的用户名/密码组合不够强大,但管理员在您的提供商处真正是唯一能够提供有关这种情况的准确详细信息的人。祝好运。 :)
答案 2 :(得分:3)
很可能,您的服务器上有一个应用程序,其中已知的漏洞已遭到攻击,某些内容已经修改了您网站上的文件或安装了新文件。
在搜索gumblar.cn的信息时,看起来他们使用了一个名为JS-Redirector-H的木马。不确定这是否涉及到这里。
如果您无法知道已修改的内容,修复此问题可能涉及从备份恢复您的网站。如果您有源代码管理或最新版本,您可以进行整个站点差异。但是,您还需要修复允许首先发生这种情况的安全漏洞。
可能是一些不安全的应用程序,或者是你之前安装的应用程序,但最近没有更新。一些抱怨此事的人提到他们使用Gallery(即PHP Gallery)。虽然我不确定它是否已连接。
如果您不是服务器管理员,请与服务器管理员联系。他们可能会提供帮助,让他们了解这一点是明智的。
答案 3 :(得分:3)
Google顾问: http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=en-US&site=http://gumblar.cn(链接不起作用)
首先,与您的托管公司联系并报告此事。如果这是服务器范围的,他们需要了解它。
这种感染最常见的原因是易受攻击的流行PHP软件(如PHPBB,Mamboserver和其他流行系统)。如果您正在运行任何第三方PHP代码,请确保您拥有最新版本。
如果您确定这只会影响您的网站,请从备份中恢复。如果您没有任何备份,请尝试重新安装所有(您可以迁移数据库)(到最新版本)并通过您自己的PHP代码(如果有的话)。
答案 4 :(得分:2)
PHP程序实际上是PHP解释器在服务器上运行的简单文本文件。如果您的申请被感染,那么我认为有两个可能性:
1.他们在您的应用程序中使用了一些安全漏洞将一些代码注入您的服务器,所以现在他们已经更改了一些PHP文件或一些数据库信息。
如果是这种情况,最好仔细检查从用户那里获取信息的每个地方(文本输入,文件上传,cookie值......),确保一切都经过精心过滤。这是过滤来自用户的任何内容的非常常见的安全做法。您还可以更好地确保当前保存在数据库(或文件系统)中的数据是干净的。我建议使用Zend Framework的Zend_Filter组件来过滤用户输入。那里有很多功能齐全的过滤库。
2.他们可能在您的服务器上运行了一些程序,这会影响您的PHP源文件。所以他们已经完成了你的服务器运行一些程序/脚本,即改变你的应用程序。
如果是这种情况,我建议您检查所有服务器进程并确保知道正在运行的每个进程。虽然我认为这是不太可能的。
答案 5 :(得分:1)
好的,这不是一个编程问题而且不适合这个问题,因为如果我们能够容忍这些问题,我们很快就会成为ppl的急救/支持网站,其中包含糟糕的共享主机帐户。
我只是没有投票支持结束,因为我感觉很糟糕,因为他们可能会对他们没有修复知识的问题感到非常糟糕。
首先:google for gumblar.cn,随着我们的发言,有越来越多有潜力的帖子在积累。
如果你是一个真正的初学者,并且你觉得你没有得到答案中的任何内容,那么只需执行以下操作:
答案 6 :(得分:1)
我受此病毒/恶意软件影响,目前正在清理。我希望这会有所帮助:
1)你很可能在你的电脑上有一个TROJAN。要验证这一点,只需运行(开始>运行...或Windows键+ R)并键入“cmd”或“regedit”。如果其中任何一个没有按预期打开它的窗口,你就有了Js:Redirector木马。您还可以验证反病毒程序aVast和恶意软件字节由于某种原因无法连接到更新(欺骗木马)。另外,您会注意到控制面板的安全程序已被禁用,您不会在托盘图标中看到通知,告诉您病毒防护已被禁用。
2)这是very recent exploit,显然是漏洞或pdf插件,因此即使您不使用Internet Explorer也不安全!
至于我,我相信因为我讨厌减慢我的电脑的程序,我在“手册”上有我的Windows更新,而且我没有驻留保护(扫描所有网络连接等),我可能通过访问另一个尚未列入黑名单的黑客网站感染。此外,我对非IE浏览器过于自信!我有时会忽略黑名单警告,因为我很好奇脚本的功能等等,并再次忘记了Windows的真实情况。结论:自动保留Windows更新,具有最小的驻留保护(aVast Web Shield + Network Shield)。
3)因为这是一个发回你的FTP密码的木马,所以你的密码有多好并不重要!
4)尝试使用恶意软件或aVast升级您的PC,它会找到一个以“.ctv”结尾的文件 您必须拥有5月14日或更近期的病毒数据库。如果您无法更新(如上所述),请按照these instructions(您需要推断,但基本上您有一个文件,名称可能会有所不同,在注册表中指出,并使用HiJackThis删除它,一旦你在没有这个文件的情况下退出,一切都很好)
5)当然更新你的密码,但要确保首先删除木马!
6)对于所有已修改页面的确切列表,尝试获取FTP日志,您将找到脚本/黑客的IP以及所有被触摸的文件。
7)如果您拥有“生产”环境的完整本地副本,那么最安全的是删除服务器上的所有站点,并重新上传所有文件。
8)在清理过程中,DONT访问您的受感染网站,否则您将重新安装该木马!如果您拥有最新的aVast Home Edition和“Web Shield”保护,它将向您发出警告并阻止您的浏览器执行该页面。
答案 7 :(得分:0)
在您这边,请尽快将您的ftp密码更改为完全模糊的内容。我以前见过这种情况。这些“黑客”所做的是对您的ftp帐户进行蛮力,下载几个文件,稍微修改它们,然后重新上传受感染的副本。如果您有权访问ftp日志文件,您可能会看到从您的帐户以外的IP连接到您的帐户。您可以将此提交给您的托管公司,并要求他们将该IP列入黑名单。
答案 8 :(得分:0)
该网站(您提到的gumblar.cn)正在接受恶意软件测试。您可以在此处监控结果:http://www.siteadvisor.com/sites/gumblar.cn/postid?p=1659540
答案 9 :(得分:0)
我在旧的托管服务提供商处遇到过类似的事情。不知何故,有人能够以某种方式感染Apache,以便在我的所有PHP文件中注入一个特殊的标题,导致浏览器尝试下载并在浏览器中运行。当他们修复它时,快速解决方案是删除所有PHP文件,并将我的索引文件更改为纯HTML文件。是否能为您解决问题取决于服务器的感染方式。您可以做的最好的事情也可能是最负责任的事情是通过关闭网站来保护您的访问者,如果可能(如果文本文件没有被感染),则显示一条消息,指出如果他们最近访问过,他们可能已经被感染了。
毋庸置疑,在我的网站被感染后,我很快就切换了托管服务提供商。我的托管服务提供商在很多其他方面都非常糟糕,但这几乎是最后一根稻草。