1

为客户解决网站入侵问题。Guy 有一个 CodeIgniter 应用程序,我起初以为它会重定向到一个制药垃圾邮件站点。进一步调查显示,在处理网站的搜索功能后,该应用程序以某种方式创建了一个 quickstart.dat 文件并将其放置在服务器的顶级目录中,甚至不是 webroot 目录。

此 dat 文件填充了导致该站点呈现 pharma 垃圾邮件内容的确切 html。不幸的是,我对 CodeIgniter 应用程序的了解还不够,无法确定这是如何发生的。我查看了 /application/controllers/search.php 文件和 /application/views/search.php 文件,如果我正确解释 CodeIgniter 文档,它们负责处理 URL 中带有“搜索”的任何请求?

这两个文件都没有任何可疑之处。所以我开始 grepping 整个目录,但仍然没有骰子。

谁能指出我正确的方向?我错过了什么?CodeIgniter 的哪个部分负责将 dat 文件放在主目录中?

4

1 回答 1

0

有很多事情可能发生。我将尝试列出我对可能发生的事情的所有想法。

您可以尝试以下方法:

  • 检查 .htaccess 文件是否包含任何内容
  • 检查处理重定向的 codeigniter 中的路由文件,它位于 /application/config/routes.php 并检查那里是否有任何重定向。
  • 使用命令行搜索所有 php 文件并查找“base64_decode(”
  • 也许删除 .dat 文件?

您还可以尝试搜索具有通常用于混淆代码的大哈希字符串的文件

find ./ -name "*.php" -type f -print0 | xargs -0 grep '[a-zA-Z0-9]\{400\}'
于 2012-07-22T19:54:52.230 回答