Die Website wurde in letzter Zeit häufig von Hackern angegriffen. Wir bitten PHP-Experten um Hilfe, um unsere Denkweise zu klären, damit wir so schnell wie möglich Lücken finden und unsere Sorgen lösen können!
Nun wird der Vorfall wie folgt beschrieben:
1. Die Website wird mit der Standardversion von PHPCMS_V9_5.20 erstellt.
2. Alle Dateien werden zunächst im Stammverzeichnis des Servers mit vollständig geöffneten Berechtigungen gespeichert.
3. Später wurde die Website gehackt und die Eintragsdateien api.php und index.php wurden neu geschrieben.
4. Die implantierte Virendatei ist: „One Sentence Trojan“. Der Inhalt ist wie folgt:
5 Nachdem Sie das Problem entdeckt und gelöscht haben, sperren Sie die Berechtigungen dieser Dateien. Ich denke, das wird das Problem lösen. Einige Tage später stellte ich jedoch fest, dass der Snapshot der Website gekapert worden war, also überprüfte ich den Trojaner erneut und tötete ihn. Die Ergebnisse zeigten, dass sich der Speicherort der Trojaner-Datei im Ordner uploadfile20170527 im Stammverzeichnis des Servers befand . Diese Datei wird automatisch basierend auf dem Datum erstellt, wenn Anhänge hochgeladen oder Artikel im Hintergrund aktualisiert werden. Allerdings wurde der Artikel am 27. Mai nicht aktualisiert, sondern erschien und forderte Experten um Hilfe bei der Untersuchung der Grundursache des Website-Problems.
Der Inhalt des Trojaners ist:
Zusätzlicher Anhang: Ich habe verwandte Inhalte im Internet überprüft und die meisten sagten, es handele sich um einen SQL-Injection-Angriff, der durch Schwachstellen in Website-Programmen verursacht wurde. Es wurde vorgeschlagen, die Sicherheitslücke zu beheben, aber wie kann man sie beheben? Ist es sinnvoll, die PHP-Version online zu aktualisieren?
【
Ich bin kein technischer Mensch und verstehe daher viele Dinge nicht. Wenn Sie etwas nicht verstehen, werde ich Ihren Anweisungen folgen und es während der Frage-und-Antwort-Runde hinzufügen!】
这句话代码原理很简单,POST指的是客户端传送过去的数据,eval表示将这些数据当成代码执行。
对于黑客来说就是只需要在你网页上的对话框输入代码,提交以后就会被实际执行。
这只是表征,也就是最后留下的后门,但是黑客如何进来留后门的,那可能性就太多了,说不定上传功能有漏洞,ftp密码被破,管理员权限被获取,等等。最后留下这句木马只是下次使用方便而已。
最起码的需要做的,是整套代码下载下来,遍历一遍所有代码,查到所有 eval 相关的地方,如非本身程序必须,全部处理掉,不然你这边删一个,人家在别的地方重新上传一个,没完没了了。第二就是堵住系统管理漏洞,服务器各项组件能更新的就更新,所有密码全都改掉使用随机强密码,然后在服务器装个杀毒软件,我记得以前用过 Linux 服务器一个开源的。。忘了名字你搜索下就好。
最后,实在不行就交给专业的人处理,看投资值不值得了,我记得外国有网站是提供木马查杀,变动监控服务的,好像一两百美金一年,挺贵。国内不知道有没有相同的服务。
关于PHPCMS漏洞的通知
尊敬的用户:
您好!
今年四月份PHPCMS程序被曝出的最新漏洞,可以通过修改会员注册参数向网站注入PHP木马文件。通过我司测试发现,注册会员时,PHPCMS会将注册信息进行加密,然后再传递到服务器上进行会员注册操作,由于加密方式暂时无法破解,因此我司无法通过匹配对应的关键词来拦截黑客入侵;
目前解决方案有三种:
升级到最新的PHPCMS程序;
关闭网站上的会员注册功能;
取消uploadfile目录的执行权限(此方法可以避免木马执行,但无法避免木马文件上传);
执行上述任一方案后,请彻底检查uploadfile目录及子目录,是否含有PHP文件,此目录为上传图片的图片保存目录,如果发现存在PHP文件,则一定为木马文件!请及时删除!
景安网络
2017.6.19
换服务器密码,换SSH默认端口,能换服务器换个服务器。换PHPCMS,5,6年前都停止更新了。肯定漏洞不少。
权限问题,你的上传目录开了可执行权限。解决问题的方法么,排除PHPCMS的漏洞之外,你需要将所以外部文件(不是你自己写的或者框架的代码)目录的可执行权限去掉。
楼上两位回复:
你的上传目录开了可执行权限、取消uploadfile目录的执行权限这是什么意思?都取消目录执行权限了,目录都打不开,自己要上传图片都上传不了,那还行?