Php

伺服器被攻破,在沒有寫權限的情況下更改文件夾中的 PHP 文件時入侵有多深

  • October 2, 2014

我知道有很多類似的問題,但沒有一個涵蓋這個具體問題:

我在客戶端伺服器腳本注入的幾乎所有 PHP 文件中發現,它實際上是這裡提到的腳本:https ://stackoverflow.com/questions/20658823/hacked-site-encrypted-code 。

現在我知道很難確定切入點,但有一些事實我確信對於比我更適合的人來說是有意義的。

情況

  • 幾乎所有 PHP 文件都被感染了
  • 有一個文件夾,其中包含一些受感染的文件,但它沒有我用來將文件上傳到伺服器的 FTP 使用者的任何權限
  • 即使是不公開查看或未被Google索引的文件也被感染
  • 在非索引文件夾中,有些文件被感染,有些則沒有。那些沒有被感染的人很可能從來沒有或很少被任何人打電話

問題

考慮到上述事實,整個伺服器是否可能遭到破壞(apache,…),或者它可能只是一個不安全的 PHP 腳本。當只有一個 PHP 腳本被濫用時,甚至有可能看到這樣的場景嗎?

現在只更新 PHP 腳本、刪除病毒程式碼並希望伺服器本身沒有受到威脅就足夠了嗎?(當然要更改 SFTP 帳戶憑據)

編輯:關於它是重複的評論

正如我之前所說,我確實閱讀了其他文章,我不需要知道行動方案,我只是好奇 PHP 文件在 FTP 使用者不可寫的文件夾內被修改,如果這是可能的使用 PHP 腳本 / MYSQL 漏洞利用或僅當攻擊者俱有 FTP 通行證或更深的伺服器訪問權限時。

伺服器上的 PHP 文件可能在程式碼中寫入了漏洞。一個這樣的例子是接受使用者輸入並且不對輸入進行任何類型的驗證檢查的程式碼。

有一些機器人通常用於查找此類程式碼並驗證它是否可以利用它。然後病毒會將自身複製到可以找到的每個 PHP 文件中。

它不需要進行身份驗證來訪問文件,比如通過 FTP,因為漏洞利用本身繞過了任何需要的身份驗證。

從文件在不允許 FTP 訪問的目錄中修改的事實中可以合理推斷的唯一一件事是,它們不是使用 FTP 修改的。

這意味著伺服器中的其他內容已被破壞,而不是 FTP。

這意味著您應該更加渴望盡快對其進行核對。

引用自:https://serverfault.com/questions/632733