Вирусный код внедрен в PHP файлы

Question

У меня есть веб-сайт, работающий на LAMP - Linux, Apache, mySQL и PHP. В последние 2-3 недели файлы PHP и jQuery на моем сайте были заражены вредоносным ПО с сайта gumblar.cn

Я не могу понять, как эта вредоносная программа попадает в мои файлы PHP и как я могу предотвратить ее повторение снова и снова.

Есть идеи?

UPDATE:

Похоже, это эксплоит cpanel

Answer 1

Ваш сайт взломан , поэтому взломщики просто заменяют ваши файлы.

Вы должны всегда обновлять ОС Linux, Apache, MySQL, PHP и веб-программы PHP, когда объявляется предупреждение системы безопасности.

Серверы Linux, на которых запущены открытые службы без их регулярного обновления, являются наиболее уязвимыми блоками в Интернете.

Answer 2

Никто здесь не может предоставить убедительное решение на основе предоставленной вами информации, поэтому все, что мы можем предложить, - это следовать хорошим правилам и стандартам безопасности и немедленно исправлять любые слабые места.

Убедитесь, что ваше программное обеспечение обновлено. Вполне возможно получить доступ к локальным файлам с помощью эксплойтов в программах PHP, поэтому оставляйте все сторонние приложения, на которых вы работаете, в своих последних версиях (особенно очень распространенные программы, такие как Wordpress и phpBB), и делайте все возможное, чтобы ваши На сервере работают правильные версии своих сервисов (PHP, Apache и т. д.).

Используйте надежные пароли. Надежный пароль - это длинный случайный список символов. Оно не должно иметь ничего общего с вашей жизнью, оно не должно иметь легкодоступных аббревиатур или мнемоник, не должно напоминать словарное слово и содержать здоровые вкрапления различных символов; цифры, буквы разных кейсов и символы. Он также должен быть достаточно длинным, в идеале более 26 символов. Это должно помочь удержать людей от взлома ваших учетных данных в течение достаточного времени, чтобы компетентные системные администраторы могли принять меры против злоумышленников.

Поработайте с администраторами вашего хостинг-провайдера, чтобы понять, что произошло в данном конкретном случае, и принять меры для его исправления. Возможно, они не заметили ничего необычного; например, если у вас есть простой пароль, или если эта атака была совершена доверенным лицом, или если у вас есть незащищенный эксплойт в пользовательском приложении PHP, ничего не будет указывать на неправильное использование.

На общих хостах также есть много людей, имеющих доступ к одному и тому же локальному компьютеру, поэтому такие вещи, как права доступа к файлам и исправления локально доступных эксплойтов как внутри вашего приложения, так и в целом очень важны. Убедитесь, что на вашем хосте есть правильные политики, и убедитесь, что ни одно из ваших программ не доверяет локальным соединениям или пользователям.

Характер атаки (импорт вредоносных программ с сайта, который, по-видимому, в массовом порядке делает подобные вещи) предполагает, что вы запускали эксплуатируемое приложение или что ваша комбинация имени пользователя и пароля была недостаточно сильной, но администраторы у вашего провайдера действительно единственные, кто может предоставить точную информацию о том, как это произошло. Удачи. :)

Answer 3

Google Advisory: http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=en-US&site=http://gumblar.cn (связь не работает)

Сначала свяжитесь с хостинговой компанией и сообщите об этом. Если это для всего сервера, они должны знать об этом.

Наиболее распространенной причиной таких инфекций является уязвимое популярное программное обеспечение PHP (такое как PHPBB, Mamboserver и другие популярные системы). Если вы используете какой-либо сторонний PHP-код, убедитесь, что у вас последняя версия.

Если вы определили, что это влияет только на ваш сайт, выполните восстановление из резервной копии. Если у вас нет резервных копий, попробуйте переустановить все (возможно, вы можете перенести базу данных), что у вас есть (до последней версии), и просмотрите свой собственный код PHP (если есть).

Answer 4

Скорее всего, на вашем сервере есть приложение с известной уязвимостью, которое было атаковано, и что-то изменило файлы на вашем веб-сайте или установило новый файл.

При поиске информации в gumblar.cn похоже, что они используют трояна JS-Redirector-H. Не уверен, что это то, что здесь происходит.

Исправление может включать восстановление вашего веб-сайта из резервной копии, если у вас нет возможности узнать, что было изменено. Если у вас есть контроль версий или последняя версия, вы можете сделать различие для всего сайта. Но вам также нужно будет исправить уязвимость системы безопасности, которая позволила этому произойти в первую очередь.

Скорее всего, это какое-то небезопасное приложение или приложение, которое вы установили некоторое время назад, но недавно не обновляли. Несколько человек, которые жаловались на это, упомянули, что они используют Gallery (то есть PHP Gallery). Хотя я не уверен, что это связано.

Если вы не являетесь администратором сервера, обратитесь к администратору сервера. Возможно, они смогут помочь, и было бы разумно сообщить им об этом.

Answer 5

Программы PHP на самом деле представляют собой простые текстовые файлы, которые выполняются на сервере интерпретатором PHP. если ваше приложение заражено, то я думаю, что есть две возможности:

1. они использовали какую-то дыру в безопасности в ВАШЕМ приложении для внедрения некоторого кода на ваш сервер, поэтому теперь они изменили некоторые из ваших файлов PHP или некоторую информацию вашей базы данных.

Если это так, лучше дважды проверить каждое место, где вы получаете информацию от пользователя (ввод текста, загрузка файлов, значения файлов cookie, ...), убедитесь, что все хорошо отфильтровано. Это очень распространенная практика обеспечения безопасности для фильтрации всего, что исходит от пользователя. Вам также лучше убедиться, что данные, которые в данный момент сохранены в вашей базе данных (или файловой системе), чистые. Я предлагаю использовать компонент Zend_Filter Zend Framework для фильтрации пользовательского ввода. Есть много полнофункциональных библиотек фильтров.

2. они могли запустить на вашем сервере какую-нибудь программу, которая влияет на ваши исходные файлы PHP. так что каким-то образом они выполнили какую-то программу / скрипт вашего сервера, который меняет ваше приложение.

Если это так, я предлагаю вам проверить все процессы вашего сервера и убедиться, что вы знаете каждый запущенный процесс. хотя я думаю, что это менее возможно.

Answer 6

Я был затронут этим вирусом / вредоносным ПО и в настоящее время очищаюсь. Я надеюсь, что это будет полезно:

1) Скорее всего, на вашем ПК есть TROJAN. Чтобы проверить это, просто запустите (Пуск> Выполнить ... или ключ Windows + R) и введите «cmd» или «regedit». Если любой из них не открывает свое окно, как ожидалось, у вас есть троян Js: Redirector. Вы также можете проверить, что антивирусные программы aVast и Malware Bytes по какой-то причине не могут подключиться к обновлениям (это подлый троян). Кроме того, вы заметите, что программа «Безопасность» панели управления отключена, на значках в трее не появилось бы уведомление о том, что защита от вирусов отключена.

2) Это очень недавний эксплойт , очевидно, с плагинами уязвимостей или pdf, поэтому вы не в безопасности, даже если вы не использовали Internet Explorer!

Что касается меня, я считаю, что из-за того, что я ненавижу программы, замедляющие мой компьютер, у меня есть обновления Windows для «ручного», и у меня не было постоянной защиты (сканирование всех веб-соединений и т. Д.), И я, вероятно, заражен посещением другого взломанного сайта, который еще не попал в черный список. Кроме того, я был уверен в браузерах не IE! Иногда я игнорирую предупреждение о черном списке, потому что мне любопытно, что делают сценарии и т. Д., И я снова забываю, как на самом деле ПЛОХО Windows. Вывод: оставляйте обновления Windows автоматически, имейте минимальную резидентную защиту (aVast Web Shield + Network Shield).

3) Поскольку это троян, возвращающий ваш пароль FTP, не имеет значения, насколько надежным был ваш пароль!

4) Попробуйте установить на вашем компьютере вредоносное ПО или aVast, он найдет файл, заканчивающийся на «.ctv» У вас ДОЛЖНА быть вирусная база от 14 мая или более поздняя. Если вы не можете обновить (как описано выше), тогда следуйте этим инструкциям (вам нужно будет экстраполировать, но в основном у вас есть файл, имя может отличаться, что указано в реестре, и использовать Привет, это чтобы его удалить, как только вы перезагрузитесь без этого файла, все в порядке)

5) Конечно, обновите ваши пароли, НО сначала убедитесь, что троян удален!

6) Чтобы получить точный список всех измененных страниц, попробуйте получить протокол FTP, и вы найдете IP-адрес скрипта / хакера и всех затронутых файлов.

7) Если у вас есть полная локальная копия «производственной» среды, то самым безопасным является удаление ВСЕХ сайтов на сервере и повторная загрузка всех файлов.

8) Во время процесса очистки НЕ посещайте зараженный сайт, иначе вы переустановите троян! Если у вас установлена ​​последняя версия aVast Home Edition и защита «Web Shield», она выдаст вам предупреждение и заблокирует выполнение страницы вашим браузером.

Answer 7

Хорошо, это НЕ программный вопрос, и SO не место для этого, потому что, если мы допустим такие вопросы здесь, мы скоро станем участком первой помощи / поддержки для людей с плохими учетными записями общего хостинга.

Я не голосовал только за закрытие, потому что мне плохо, когда я отказываюсь от нескольких человек, которые, вероятно, очень плохо относятся к проблеме, у которой нет знаний, которую нужно решить.

Прежде всего: Google для gumblar.cn, растет количество потенциально полезных постов, накапливающихся, как мы говорим.

Если вы настоящий новичок и чувствуете, что ничего не можете найти в ответах, просто сделайте следующее:

1. Получить новый хост
2. Google для получения информации обо всех ваших программ, пока вы не знаете, если программное обеспечение является безопасным. Если это не так, не используйте его, пока разработчики не исправят проблему. Примером небезопасного программного обеспечения является «Galery».
3. Установите все свое программное обеспечение (только безопасное). FRESH INSTALL !!
4. Копирование статических файлов (например, изображений) на новый сервер. НЕ копируйте никакие динамические файлы, такие как php-скрипты, поскольку они могут быть заражены.
5. Не загружайте ни один из своих собственных сценариев PHP, пока не проверите их на наличие уязвимостей в безопасности. Если вы не знаете, как это сделать, не загружайте ничего, пока не узнаете об этом.

Answer 8

У меня было что-то подобное со мной на старом хостинг-провайдере. Каким-то образом кто-то смог каким-то образом заразить Apache, так что специальный заголовок был внедрен во все мои PHP-файлы, что заставило браузер попытаться загрузить и запустить его. Пока они это исправили, быстрым решением было убрать все мои PHP-файлы и изменить мой индексный файл на обычный HTML-файл. Остановит ли это проблему для вас, зависит от того, насколько заражен сервер. Лучшая и, вероятно, самая ответственная вещь, которую вы можете сделать, это защитить своих посетителей, закрыв сайт, и, если возможно (если текстовые файлы не заражены), отобразить сообщение о том, что, если они недавно посещали, они могли быть заражены.

Излишне говорить, что я сменил хостинг-провайдеров вскоре после заражения моего сайта. Мой хостинг-провайдер был довольно плох во многих других отношениях, но это было в значительной степени последней каплей.

Answer 9

Этот веб-сайт (gumblar.cn, который вы упомянули) проверяется на наличие вредоносных программ. Вы можете отслеживать результаты здесь: http://www.siteadvisor.com/sites/gumblar.cn/postid?p=1659540

Answer 10

, как упомянул Фрэнсис, попробуйте заставить свою хостинговую компанию убедиться, что их программное обеспечение обновлено.

С вашей стороны, как можно скорее измените свой пароль ftp на что-то совершенно неясное. Я видел, как это случалось с людьми раньше. То, что делают эти «хакеры», - это грубая сила в вашей учетной записи ftp, загрузите пару файлов, слегка измените их, а затем повторно загрузите зараженные копии. Если у вас есть доступ к файлам журнала ftp, вы, вероятно, увидите соединение с вашей учетной записью с IP-адреса, отличного от вашего. Возможно, вы сможете отправить это своей хостинговой компании и попросить их внести в черный список этот IP-адрес от доступа к их серверам.