Lot*_*her 41 security php hacking
有人第二次在我帮助运行的网站上添加了一大块 javascript。这个javascript劫持了谷歌的adsense,插入自己的账号,到处贴广告。
代码总是被附加,总是在一个特定的目录中(一个由第三方广告程序使用),影响这个广告目录(20个左右)内的许多目录中的许多文件,并在一夜之间以大致相同的方式插入时间。该 Adsense 帐户属于一个中国网站(位于离我下个月要去中国的地方不到一小时路程的一个小镇。也许我应该去爆头...开玩笑,有点),顺便说一句...这里的信息网站:http : //serversiders.com/fhr.com.cn
那么,他们如何将文本附加到这些文件中呢?是否与对文件设置的权限有关(范围从 755 到 644)?对于网络服务器用户(它在 MediaTemple 上,所以它应该是安全的,是吗?)?我的意思是,如果你有一个权限设置为 777 的文件,我仍然不能随意向它添加代码......他们怎么会这样做?
这是一个实际代码示例,供您观看(正如您所看到的......没什么。真正的技巧是他们如何获得它):
<script type="text/javascript"><!--
google_ad_client = "pub-5465156513898836";
/* 728x90_as */
google_ad_slot = "4840387765";
google_ad_width = 728;
google_ad_height = 90;
//-->
</script>
<script type="text/javascript"
src="http://pagead2.googlesyndication.com/pagead/show_ads.js">
</script>
由于很多人都提到过它,这里是我检查过的(检查我的意思是我环顾了文件被修改的时间是否有任何奇怪之处,并且我为 POST 语句和目录遍历查找了文件:
*更新:**好的,解决了。来自中国的黑客在我们的网站上放置了一个文件,允许他们执行各种管理操作(数据库访问、删除和创建文件和目录,您可以命名,他们有权访问)。我们很幸运,他们没有做更具破坏性的事情。正常的 apache 日志文件中没有任何内容,但我在 Web 服务器日志分析器中发现了一组不同的日志文件,并且证据就在那里。他们使用自己的管理员用户名和密码访问这个文件,然后在服务器上编辑他们需要的任何内容。他们的文件将“apache”设置为用户,而我们网站上的所有其他文件都有不同的用户名。现在我需要弄清楚他们是如何将这个文件物理地放到我们的系统上的。我怀疑这最终会归咎于我们的网络主机(Media Temple),
我的 Media Temple Grid Server 帐户已多次像这样“被黑”。他们的安全性很差……从去年的纯文本密码开始一直持续到今天(您可以致电技术支持,他们会说“您的密码是什么?”)。我知道是因为我每个月都会收到一封电子邮件,内容是关于他们如何更改我所有的帐户密码,而且每次他们被黑客入侵时,他们实际上都会为您更改数据库密码。那家公司表面上看起来光鲜亮丽,但网格服务器却一团糟。我建议立即切换。
请参阅去年关于原始惨败的帖子(警告,它会让你生气)。它从那里走下坡路。去年我离开家人度过了感恩节,并从我的网站上删除了色情链接。迷人的。
在他们的状态页面上跟踪乐趣:它会告诉您有关最新漏洞的所有信息(并且,确实,现在有一个“可能的漏洞”)。
首先chmod 744它不是你想要的。chmod 的目的是撤销对系统上其他帐户的访问权限。chmod700比 chmod 安全得多744。然而,Apache 只需要执行位来运行您的 php 应用程序。
chmod 500 -R /your/webroot/
chown www-data:www-data -R /your/webroot/
www-data 通常用作 Apache 的帐户,用于执行 php。您还可以运行此命令来查看用户帐户:
`<?php
print system("whoami");
?>`
FTP非常不安全,您很可能被这种方法入侵。使用 FTP 您可以使文件可写,然后再次感染它们。确保在所有具有 FTP 访问权限的计算机上运行防病毒软件。有些病毒会嗅探本地流量以获取 FTP 用户名和密码,然后登录并感染文件。如果您关心安全性,您将使用 SFTP,它会加密所有内容。以明文形式通过网络发送源代码和密码是完全疯狂的。
另一种可能性是您使用的是旧库或应用程序。访问软件供应商的站点并确保您运行的是最新版本。
| 归档时间: |
|
| 查看次数: |
2142 次 |
| 最近记录: |