Security
PHP eval(gzinflate(base64_decode(..))) hack - 如何防止它再次發生?
我們最近有一個網站被黑,其中一些 PHP 程式碼被注入到 index.php 文件中,看起來像這樣:
eval (gzinflate(base64_decode(‘s127ezsS/…bA236UA1’)));
該程式碼導致包含另一個 php 文件 (cnfg.php),這導致顯示一些與製藥相關的垃圾郵件(但僅對 googlebot 等人可見)。這看起來像 wordpress 的 pharma hack,除了我們沒有執行上述軟體。該程式碼已被刪除,但我想防止將來發生此類事件。
我意識到這是一個相當廣泛的問題,可能存在無數安全漏洞,但我想我會把它放在那裡,以防過去有人遇到過這樣的問題。
允許上傳這些 php 文件的潛在安全漏洞有哪些?我能做些什麼來防止這種情況在未來發生?
乾杯
你需要找出它是如何到達那裡的。
攻擊者是否可以通過 sftp/scp 訪問文件系統?
- 如果發生這種情況,您需要鎖定您的遠端訪問方法
攻擊者是否在允許他們修改文件的現有腳本中使用了某些上傳腳本或某些錯誤?
- 修復腳本,更改腳本和 Web 內容的權限,以便 Web 伺服器程序無法更改它們。Web 伺服器應該僅限於修改某個數據目錄中的文件。您的腳本和文件通常不應該由 Web 伺服器擁有或寫入。
該腳本是否是您安裝的某些惡意軟體的一部分?
- 我已經看到類似的東西包含在 wordpress 模板中。一個毫無戒心的使用者從某個隨機站點下載了模板。這些模板包括從外部 Web 伺服器執行程式碼的功能。這與糟糕的權限設置相結合,允許攻擊者修改其他內容。