Возможный дубликат:
Мой сервер был взломан АВАРИЙНАЯ СИТУАЦИЯ
кто-то вторгается на наш сайт и помещает следующую строку на нашей главной странице (index.php) :: В следующем коде bottom.php наш собственный файл, и злоумышленник помещает строку "echo
между нашим кодом "include_once".
Include_once ('bottom.php'); echo ""; ?>
пожалуйста, помогите мне предотвратить это вторжение.
PHP версии 5.2.9, Система: Linux hansens 2.4.32-grsec-opteron-peon-1.1.1 # 1 SMP Пт 21 декабря 15:45:17 PST 2007 i686
Первой вещью, которую необходимо сделать, если Вы уже не сделали так, является блокировка сервер вниз так, как Вы реалистично можете, в то время как Вы определяете, какова причина. В идеальном мире я вывел бы машину из эксплуатации, в то время как я узнал то, что продолжалось.
Попытайтесь определить то, чем первопричина этого была (простите игру слов). Если это - некоторое нападение по http, разработайте, куда это прибыло из, и что еще, возможно, было поставлено под угрозу. Это могло бы быть компромиссом целого поля?
Вашему ядру приблизительно 2 года, Ваш PHP не является самым актуальным для того ответвления. Я предполагаю, что Ваша апачская установка не также. Вы используете установленный пакет типа CMS для сайта? Это актуально? Вы удалили какие-либо каталоги установки? Каковы полномочия на файлах?
Если это был я:
Это могло бы быть полной чрезмерной реакцией на Вашу проблему, но пока Вы не будете знать масштаб 'стирания', Вы не будете знать, как далеко взять его.
Во-первых, проверьте журналы передачи FTP о index.php и проверьте, что дюйм/с соединений - является ими из иностранного государства как Китай, Россия и т.д. Если верный - изменяют пароль FTP, чистый сайт и вредоносное сканирование все ПК, где пароль использовался/сохранялся. Вредоносному программному обеспечению довольно свойственно украсть сохраненный пароль или включать клавиатурный перехватчик, которые отправляются злоумышленнику и используются, чтобы заставить сайты распределить/разместить вредоносное программное обеспечение. Кроме того, помните, что FTP отправляет все пароли в простом тексте, не используйте его открытый Wi-Fi или другие небезопасные сети.
если это не работает, проверьте сайт на: файл a) загружает сценарии. Проверьте на проверку путей/пути файла. Кроме того, проверьте, что тип файла действительно проверен, не просто расширение. Пантомима модификации Apache имеет небезопасную "функцию", таким образом, файлы как evilscript.php.gif будут выполняться как php. Касательно:
"Необходимо соблюдать осторожность, когда файл с несколькими расширениями связан и с типом MIME и с обработчиком. Это будет обычно приводить к запросу, являющемуся модулем, связанным с обработчиком. Например, если .imap расширение будет отображено на файле IMAP обработчика (от mod_imap), и .html расширение отображается на тексте/HTML типа MIME, то файл world.imap.html будет связан и с типом MIME обработчика файлов IMAP и с текста/HTML. Когда это будет обработано, обработчик файлов IMAP будет использоваться, и таким образом, это будут рассматривать как mod_imap файл карты изображения".
Решение: отключите php на каталогах, куда загруженные файлы перемещены.
b) include|require (_once). Они могут использоваться для удаленного включения файла, таким образом, взломщик может записать сценарий PHP, который будет выполняться в сервере и может измениться/удалить файлы. Ищите чему-то нравится, включают ($ _GET | $ _POST | $ _COOKIE | $ _REQUEST | $ _SERVER) (.? *) Решение: отключите remote_fopen, если Вашему сайту не нужны они. Иначе сделайте тот же надлежащий контроль ввода (Который был бы нормальной вещью сделать :). Кроме того, я предлагаю отключить register_globals.
c) Ввод данных пользователем Eval'ed / удаленные файлы. Помните, что ввод данных пользователем может находиться в базе данных.
Кроме того, проверьте свой сайт на загруженные бэкдоры, так называемые "оболочки". Самая безопасная вещь сделать состоит в том, чтобы восстановить от известного безопасного резервного копирования :)
Существует много способов сделать это. Есть ли какое-либо Поле ввода на Вашей основной странице или (другом), которого делает попытку coud быть неправильно проанализированным для использования?
Сначала сделайте файлы PHP читаемыми веб-сервером, но не перезаписываемые. Вторая проверка Ваши различные поля ввода для возможной эксплуатации.
это недавно довольно популярно у вредоносного программного обеспечения, крадя сохраненные пароли [чаще всего от общего командующего] и отправляя те учетные данные в центр управления. позже другое подключение машин через ftp, загрузите index.php/html и добавьте злонамеренный js/php. все автоматизированные.
Способ ограничить нападения веб-приложениями в апаче состоит в том, чтобы загрузить и точно настроить mod_security апача
Ссылка: посмотрите это Представление mod_security статья