作者darkk6 (Mr. Pan)
看板PHP
标题[请益] PHP 被植入恶意 code
时间Wed Jan 30 18:58:19 2013
大家好,其实不太确定该发在哪边比较妥当...
不过因为都只有 .php 的档案被植入 code ,
用的是 apache 所以想说是不是哪边有漏洞
今天下午赫然发现某 Server 上的绝大多数 php 档案
都被植入一行程式码:
eval(base64_decode("XXXXXXXX"));
里面的 Code 我把它 base 64 decode 後是判断
Client 的浏览器和来源,只要是从搜寻网站进入的 (google,yahoo,bing... 等)
话,都 header("location: xxxx") 到某个网站。
Server 状况是:
Windows Server 2003
AppServ 架站包 (php,mysql,apache,phpMyadmin)
FileZilla Server
防火墙设定是 80 port , 21 port 和区域网路中
特定三个 IP 的所有连线 allow,其余都 deny
FTP 只有一个帐号,该帐号底下只能 access 一个 WebRoot 底下的目录
但调查後发现,所有在 apache WebRoot (我这边是 D:\www\ )底下 90%
的 .php 档案都被插入了那段 code.
想请问一下各位,不知道有没有遇过这个问题,比较好奇的是,这种情况底下
是经由甚麽管道来 inject 这些 code 的 @@
谢谢。
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 122.121.193.160
1F:推 LaPass:之前我遇过的是从ftp.... 01/30 19:07
2F:→ LaPass:php本身也能读取档案、写入档案,所以也有可能.... 01/30 19:08
3F:→ kerash:有没有提供档案上传的状况 01/30 21:08
4F:→ chenlarry:不要再用AppServ了...几百年没更新了,很多漏洞 01/31 02:45
5F:→ chenlarry:最新稳定版本是2008年的东西..PHP还在5.2版,现在都5.4 01/31 02:45
6F:→ chenlarry:了,2009年我用那个最新版本,apache被骇客穿透,被值入 01/31 02:46
7F:→ chenlarry:信用卡钓鱼网站,之後我就养成常常升级的习惯,尤其是有 01/31 02:47
8F:→ chenlarry:重大安全性更新的时候一定要升版号.. 01/31 02:47
9F:→ chenlarry:另外他的apache还在2.2.4,现在都2.4.X了 01/31 02:50
10F:→ dlikeayu:你都没提到档案权限我想这也是为什麽被骇的原因 01/31 04:18
11F:推 pigwolf:看档案修改时间,找apache access log看看当时 01/31 08:44
12F:→ pigwolf:的记录有没有异常网址,没有再看系统的记录 01/31 08:45
13F:推 gmoz:为什麽我感觉好像有看过类似的文章xD 01/31 12:45
14F:→ maplenote:有用ckeditor、uploadify之类含有上传功能的吗? 01/31 15:25
15F:推 litleaf:就是被骇了 应该有个webshell 用了批次插码的功能 02/01 16:01
16F:推 dontkissme:你有用WORDPRESS之类的架站工具吗 02/02 20:02
17F:推 xampp:用植入当关键字搜寻本板文章 看看能否找到解答 02/02 20:03