php - PHP 文件中注入的病毒代码

Question

我拥有一个在 LAMP 上运行的网站 - Linux、Apache、mySQL 和 PHP。在过去的 2-3 周内，我网站上的 PHP 和 jQuery 文件被来自一个名为 gumblar.cn 的网站的恶意软件感染

我不明白这个恶意软件是如何进入我的 PHP 文件的，以及如何防止它一次又一次地发生。

有任何想法吗？

更新：

看起来这是一个cpanel漏洞

Answer 1

您的网站已破解，因此破解者只需替换您的文件。

每当发布安全警报时，您应该始终升级您的 Linux 操作系统、Apache、MySQL、PHP 和 Web PHP 程序。

运行开放服务而不定期升级的 Linux 服务器是互联网上最容易受到攻击的机器。

Answer 2

这里没有人可以根据您提供的信息提供结论性的解决方案，因此我们只能建议您遵循良好的安全实践和标准并立即纠正任何弱点。

确保您的软件是最新的。很可能通过 PHP 程序中的漏洞访问本地文件，因此请保留您在其最新版本上运行的任何第三方应用程序（尤其是 Wordpress 和 phpBB 等非常普遍的程序），并尽一切可能确保您的服务器正在运行其服务的正确版本（PHP、Apache 等）。

使用强密码。强密码是一长串随机字符。它应该与你的生活无关，它应该没有现成的首字母缩写词或助记符，它不应该像字典中的单词，它应该包含不同字符的健康穿插；数字、不同大小写的字母和符号。它也应该相当长，最好超过 26 个字符。这应该有助于防止人们在足够的时间内暴力破解您的凭据，以便有能力的系统管理员对攻击者采取行动。

与您的托管服务提供商的管理员合作，了解在这种特殊情况下发生了什么，并采取措施纠正它。他们可能没有注意到任何异常；例如，如果您有一个简单的密码，或者如果此攻击是由受信任的个人实施的，或者如果您在自定义 PHP 应用程序中有未修补的漏洞，则没有任何迹象表明使用不当。

共享主机也有许多人可以访问同一台本地机器，因此文件权限和修补本地可访问漏洞等内容在您的应用程序中通常非常重要。确保您的主机对此有良好的政策，并确保您的任何软件都没有明确信任本地连接或用户。

攻击的性质（从一个似乎在做这种事情的网站导入恶意软件）表明您正在运行一个可利用的应用程序，或者您的用户名/密码组合不够强大，但是您提供商的管理员确实是唯一能够提供有关如何发生的准确细节的人。祝你好运。:)

Answer 3

很有可能，您的服务器上的某个应用程序存在已被攻击的已知漏洞，并且某些东西修改了您网站上的文件或安装了新文件。

在 gumblar.cn 上搜索信息时，看起来他们使用了一个名为 JS-Redirector-H 的木马。不确定这是否是这里所涉及的。

如果您无法知道已修改的内容，则解决此问题可能涉及从备份中恢复您的网站。如果您有源代码控制或最新版本，则可以进行整个站点的差异。但是您还需要首先修复导致这种情况发生的安全漏洞。

可能是某个不安全的应用程序，或者您之前安装但最近没有更新的应用程序。一些对此抱怨的人提到他们使用Gallery（即PHP Gallery）。虽然我不确定这是否相关。

如果您不是服务器管理员，请与服务器管理员交谈。他们或许能够提供帮助，明智的做法是让他们知道这一点。

Answer 4

谷歌咨询： http ://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=en-US&site=http://gumblar.cn （链接不起作用）

首先，联系您的托管公司并报告此情况。如果这是服务器范围的，他们需要知道它。

此类感染的最常见原因是易受攻击的流行 PHP 软件（例如 PHPBB、Mamboserver 和其他流行系统）。如果您正在运行任何第 3 方 PHP 代码，请确保您拥有最新版本。

如果您确定这只会影响您的站点，请从备份中恢复。如果您没有任何备份，请尝试重新安装您拥有的所有内容（您可能可以迁移数据库）（到最新版本）并检查您自己的 PHP 代码（如果有）。

Answer 5

PHP 程序实际上是由 PHP 解释器在服务器上运行的简单文本文件。如果您的应用程序被感染，那么我认为有两个可能性：

1.他们在你的应用程序中使用了一些安全漏洞将一些代码注入你的服务器，所以现在他们已经改变了你的一些 PHP 文件，或者你的一些数据库信息。

如果是这种情况，您最好仔细检查您从用户那里获取信息的每个地方（文本输入、文件上传、cookie 值……），确保所有内容都经过良好过滤。这是过滤来自用户的任何内容的非常常见的安全做法。您还最好确保当前保存在数据库（或文件系统）中的数据是干净的。我建议使用Zend Framework的 Zend_Filter 组件来过滤用户输入。那里有许多功能齐全的过滤器库。

2.他们可能在您的服务器上运行了一些程序，这会影响您的 PHP 源文件。所以他们以某种方式完成了在您的服务器上运行一些程序/脚本，这正在改变您的应用程序。

如果是这种情况，我建议您检查所有服务器进程并确保您知道每个正在运行的进程。虽然我认为这不太可能。

Answer 6

好的，这不是一个编程问题，所以不是这个地方，因为如果我们在这里容忍这样的问题，我们很快就会成为共享主机帐户不良的 ppl 的急救/支持站点。

我只是没有投票赞成关闭，因为我很难拒绝一些可能对他们没有知识解决的问题感到非常糟糕的人。

首先：google for gumblar.cn，随着我们说话，越来越多的潜在有用帖子正在积累。

如果您是一个真正的初学者，并且您觉得您在此处的答案中没有得到任何东西，那么只需执行以下操作：

1. 获取新主机
2. 谷歌搜索有关您所有软件的信息，直到您知道该软件是否安全为止。如果不是，请不要使用它，直到开发人员解决了问题。不安全软件的一个例子是“Galery”。
3. 安装所有软件（仅限安全软件）全新安装！！
4. 将静态文件（如图像）复制到新服务器。不要复制任何动态文件，例如 php 脚本，因为它们可能会被感染。
5. 在检查安全漏洞之前，请勿上传您自己的任何 PHP 脚本。如果您不知道如何执行此操作，请在了解这些内容之前不要上传任何内容。

Answer 7

我受到这种病毒/恶意软件的影响，目前正在清理。我希望这会有所帮助：

1) 您很可能在您的 PC 上安装了 TROJAN。要验证这一点，只需运行（开始 > 运行...或 Windows 键 + R）并键入“cmd”或“regedit”。如果其中任何一个都没有按预期打开其窗口，则您有 Js:Redirector 特洛伊木马。您还可以验证防病毒程序 aVast 和 Malware Bytes 是否由于某种原因无法连接到更新（即偷偷摸摸的木马）。另外，您会注意到控制面板的安全程序已被禁用，您不会在托盘图标中看到通知告诉您病毒防护已被禁用。

2) 这是一个最近的漏洞利用，显然是 inflash 或 pdf 插件的漏洞，因此即使你没有使用 Internet Explorer，你也不安全！

至于我，我相信因为我讨厌让我的电脑变慢的程序，我的 Windows 更新是“手动”的，而且我没有常驻保护（扫描所有网络连接等），我可能是通过访问感染了另一个尚未列入黑名单的被黑网站。我也对非 IE 浏览器过于自信了！我有时会忽略黑名单警告，因为我对脚本的作用等感到好奇，并再次忘记了 Windows 到底有多糟糕。结论：将 Windows 更新保持在自动状态，具有最小的常驻保护（aVast Web Shield + Network Shield）。

3) 因为这是一个发回您的 FTP 密码的木马，所以不管您的密码有多好！

4) 尝试使用 Malware 或 aVast 对您的 PC 进行 lceanup，它会找到一个以“.ctv”结尾的文件。您必须拥有 5 月 14 日或更晚的病毒数据库。如果您无法更新（如上所述），请按照这些说明进行操作（您需要推断，但基本上您有一个文件，名称可能会有所不同，在注册表中指出，然后使用 HiJackThis 将其删除一次你在没有执行这个文件的情况下重新开始，一切都很好）

5）当然要更新你的密码，但要确保先删除木马！

6) 要获得所有修改页面的准确列表，请尝试获取 FTP 日志，您将找到脚本/黑客的 IP 和所有触及的文件。

7）如果你有一个完整的“生产”环境的本地副本，那么最安全的方法是删除服务器上的所有站点，然后重新上传所有文件。

8) 在清理过程中不要访问您的受感染站点，否则您将重新安装木马！如果您拥有最新的 aVast Home Edition 和“Web Shield”保护，它将向您发出警告并阻止该页面被您的浏览器执行。

Answer 8

我在一家旧的托管服务提供商身上发生过类似的事情。不知何故，有人能够以某种方式感染 Apache，从而将一个特殊的标头注入到我所有的 PHP 文件中，这导致浏览器尝试下载并在浏览器中运行。当他们修复它时，快速的解决方案是删除我所有的 PHP 文件，并将我的索引文件更改为纯 HTML 文件。这是否会为您解决问题取决于服务器是如何被感染的。您可以做的最好的也是最负责任的事情是通过关闭站点来保护您的访问者，并且如果可能（如果文本文件没有被感染），显示一条消息，说明如果他们最近访问过他们可能已被感染。

不用说，我的网站被感染后很快就更换了托管服务提供商。我的托管服务提供商在很多其他方面都很糟糕，但这几乎是最后一根稻草。

Answer 9

该网站（您提到的gumblar.cn）正在接受恶意软件测试。您可以在这里监控结果：http ://www.siteadvisor.com/sites/gumblar.cn/postid?p=1659540

Answer 10

就像弗朗西斯提到的那样，尝试让您的托管公司确保他们的软件是最新的。

在您这边，尽快将您的 ftp 密码更改为完全模糊的密码。我以前见过这种情况发生在人们身上。这些“黑客”所做的是对您的 ftp 帐户进行暴力破解，下载几个文件，稍微修改它们，然后重新上传受感染的副本。如果您有权访问 ftp 日志文件，您可能会看到从您的 IP 以外的 IP 连接到您的帐户。您可以将其提交给您的托管公司，并要求他们将该 IP 列入黑名单以阻止其访问其服务器。