作者darkk6 (Mr. Pan)
看板PHP
標題[請益] PHP 被植入惡意 code
時間Wed Jan 30 18:58:19 2013
大家好,其實不太確定該發在哪邊比較妥當...
不過因為都只有 .php 的檔案被植入 code ,
用的是 apache 所以想說是不是哪邊有漏洞
今天下午赫然發現某 Server 上的絕大多數 php 檔案
都被植入一行程式碼:
eval(base64_decode("XXXXXXXX"));
裡面的 Code 我把它 base 64 decode 後是判斷
Client 的瀏覽器和來源,只要是從搜尋網站進入的 (google,yahoo,bing... 等)
話,都 header("location: xxxx") 到某個網站。
Server 狀況是:
Windows Server 2003
AppServ 架站包 (php,mysql,apache,phpMyadmin)
FileZilla Server
防火牆設定是 80 port , 21 port 和區域網路中
特定三個 IP 的所有連線 allow,其餘都 deny
FTP 只有一個帳號,該帳號底下只能 access 一個 WebRoot 底下的目錄
但調查後發現,所有在 apache WebRoot (我這邊是 D:\www\ )底下 90%
的 .php 檔案都被插入了那段 code.
想請問一下各位,不知道有沒有遇過這個問題,比較好奇的是,這種情況底下
是經由甚麼管道來 inject 這些 code 的 @@
謝謝。
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 122.121.193.160
1F:推 LaPass:之前我遇過的是從ftp.... 01/30 19:07
2F:→ LaPass:php本身也能讀取檔案、寫入檔案,所以也有可能.... 01/30 19:08
3F:→ kerash:有沒有提供檔案上傳的狀況 01/30 21:08
4F:→ chenlarry:不要再用AppServ了...幾百年沒更新了,很多漏洞 01/31 02:45
5F:→ chenlarry:最新穩定版本是2008年的東西..PHP還在5.2版,現在都5.4 01/31 02:45
6F:→ chenlarry:了,2009年我用那個最新版本,apache被駭客穿透,被值入 01/31 02:46
7F:→ chenlarry:信用卡釣魚網站,之後我就養成常常升級的習慣,尤其是有 01/31 02:47
8F:→ chenlarry:重大安全性更新的時候一定要升版號.. 01/31 02:47
9F:→ chenlarry:另外他的apache還在2.2.4,現在都2.4.X了 01/31 02:50
10F:→ dlikeayu:你都沒提到檔案權限我想這也是為什麼被駭的原因 01/31 04:18
11F:推 pigwolf:看檔案修改時間,找apache access log看看當時 01/31 08:44
12F:→ pigwolf:的記錄有沒有異常網址,沒有再看系統的記錄 01/31 08:45
13F:推 gmoz:為什麼我感覺好像有看過類似的文章xD 01/31 12:45
14F:→ maplenote:有用ckeditor、uploadify之類含有上傳功能的嗎? 01/31 15:25
15F:推 litleaf:就是被駭了 應該有個webshell 用了批次插碼的功能 02/01 16:01
16F:推 dontkissme:你有用WORDPRESS之類的架站工具嗎 02/02 20:02
17F:推 xampp:用植入當關鍵字搜尋本板文章 看看能否找到解答 02/02 20:03