Основи на списъка с APA справки: Лесно ръководство (видео 4 от 4)

Поддържам работа за компания за уеб разработки и днес намерих подозрителен файл на уебсайта на един от нашите клиенти, наречен "hope.php", който съдържа няколко eval (gzuncompress (base64_decode ('....'))) команди ( което на сайт като този обикновено показва, че са били хакнати).

Търсейки компрометирания сайт в google, получихме куп резултати, които се свързват с hope.php с различни низове на заявки, които изглежда генерират различни групи SEO термини като:

(вторият резултат отгоре е легитимен, всички останали не са)

Ето източника на "hope.php": http://pastebin.com/7Ss4NjfA

И тук е декодираната версия, която получих, като замених eval () s с echo (): http://pastebin.com/m31Ys7q5

Някакви идеи откъде идва това или какво прави? Разбира се, вече съм премахнал файла от сървъра, но никога не съм виждал подобен код, така че съм доста любопитен относно произхода му. Къде мога да отида, за да намеря повече информация за нещо подобно?

  • Използват ли случайно CMS като Wordpress / Joomla?
  • Стартирайте го през режим за отстраняване на грешки и всички трябва да се изчистят. Определено по-лесно, отколкото да се опитвате да го декодирате на ръка.
  • Иска ми се да декодирам цялото това нещо, но изглежда малко досадно. Намерих preg_match в него обаче, което е резултат от "base64_decode('cH'.'J'.'l'.'Z1'.'9tYXRja'.'A==')'
  • 2 @Kevin Успях да декодирам всеки base64_decode() просто за забавление в JavaScript и всяка кодирана функция може да бъде намерена тук: jsfiddle.net/cpw2b Въпреки че може да не е ужасно полезна, тя ви дава някои указания за това какво би могло да се опитва да направи.
  • 1 Още по-декодирана версия: pastebin.com/jQxbBch1. Изглежда, че освен събирането на статистически данни, той съдържа и код, позволяващ на някой да качи който и да е файл в уеб сървър.

Вашият уебсайт е компрометиран, ако виждате странни файлове, които очевидно не са ваши.

Стъпки, които трябва да предприемете:

  1. Променете всички ftp / вход: Това ще гарантира, че ако е бил компрометиран ftp акаунт, хакерът ще трябва отново да намери вашата парола
  2. Защитете вашия скрипт: Бих препоръчал да използвате тестер за проникване като nmap или Netsparker, за да проверите за уязвимости на sql инжектиране, уязвимости на xss инжектиране или други.
  3. Може да е от руткит или контролен комплект, което означава, че целият сървър е компрометиран. Трябва да възстановите сървъра на apache от нулата или да възстановите целия шебанг от резервно копие
  4. Проверете отново всички хора: Не обвинявам нито един партньор, който също работи на вашия сайт, че прави това, но трябва да сте сигурни, че не са направили нещо глупаво, като например да споделят паролите си с неясни сайтове.
  5. Спрете на хората да имат достъп до „hope.php“ на вашия сървър: Настройте вашия .htaccess файл, за да откажете достъп до какъвто и да е файл, който е наречен "hope.php".

Този код трябва да го направи (не съм го тествал, но би трябвало да работи):

 Order allow,deny Deny from all  
  1. Направете търсене: Проверете дали на вашия сървър няма други странни файлове и всички файлове, които са на сървъра, са ваши.
  2. Де-кодирайте файла напълно: Ако можете да разберете име или автор, можете по-добре да определите източника. Често създателите на скриптове като този са нарцистични и почти винаги ще включват заслуги някъде.
  3. Най-важното е, че не прекалявайте с нищо, което откриете: Моят сайт е бил хакнат и преди, и този php файл не е бил скрит. В него имаше силно криптирани променливи, наречени неща като $backdoor и подобни неща, които звучаха страшно. След дешифрирането те се превърнаха в парчета от html шаблона за скрипта на черупката. The $backdoor променливата всъщност беше просто .

Това е най-добрият съвет, който мога да ви предложа, надявам се проблемът ви да бъде разрешен.

РЕДАКТИРАНЕ: Всъщност продължих и пуснах скрипта на кодов панел и изглежда не прави много. Внимавайте с това. Ще разгледам напълно целия код и ще видя дали мога да определя какво, по дяволите, прави това нещо ...

  • Само за да ви актуализирам всички, всъщност реверсирам целия файл възможно най-добре. Всъщност напредвам прилично.

Това е пример за хакнат сървър, който е направен чрез кражба на FTP информация. Всички ваши въпроси за това как да го премахнете напълно можете да намерите тук: http://blog.unmaskparasites.com/2011/05/05/thousands-of-hacked-sites-seriously-poison-google-image-search-results/ коментар-страница-1 /

Най-важното:

Ако вашият сайт се окаже един от компрометираните сайтове, които хостват злонамерени страници на вратата:

  • Сканирайте старателно компютъра си за злонамерен софтуер
  • След като компютърът ви е чист, сменете всички пароли за сайтове (дори за сайтове
    които изглежда не са компрометирани
    още). Не запазвайте пароли във FTP
    клиенти - повечето от тях не могат да защитят
    вашите пароли от зловреден софтуер. Помислете за използването на мениджъри на пароли (като
    KeePass), които криптират всички данни с главна парола.
  • Използвайте SFTP вместо FTP, ако е възможно.
  • Сега премахнете скрипта на вратата .php, .htaccess файл с правила за пренаписване, ако
    той е създаден, .log / директория
    и цялото му съдържание.
  • Трябва също да сканирате сървъра си за подозрителни файлове, които може да са били качени на сървъра ви с помощта на заявките? Up100500.

Това вероятно е просто ферма за връзки. Самият файл не е злонамерен, но тъй като са го получили там, вие или някой, който споделя вашия сървър, много вероятно има дупка в сигурността някъде.

  • Не изглежда като ферма за връзки, освен ако всъщност не сте изпълнили скрипта? Той показваше търсене в Google

е работил за вас: Charles Robertson | Искате ли да се свържете с нас?

Полезна информация