php site defacing [дубликат]

Первой вещью, которую необходимо сделать, если Вы уже не сделали так, является блокировка сервер вниз так, как Вы реалистично можете, в то время как Вы определяете, какова причина. В идеальном мире я вывел бы машину из эксплуатации, в то время как я узнал то, что продолжалось.

Попытайтесь определить то, чем первопричина этого была (простите игру слов). Если это - некоторое нападение по http, разработайте, куда это прибыло из, и что еще, возможно, было поставлено под угрозу. Это могло бы быть компромиссом целого поля?

Вашему ядру приблизительно 2 года, Ваш PHP не является самым актуальным для того ответвления. Я предполагаю, что Ваша апачская установка не также. Вы используете установленный пакет типа CMS для сайта? Это актуально? Вы удалили какие-либо каталоги установки? Каковы полномочия на файлах?

Если это был я:

1. Выведите машину из эксплуатации
2. Удостоверьтесь, что проблема содержится (возможно переустанавливание, чтобы быть уверенной)
3. Удостоверьтесь, что программное обеспечение актуально и все известные покрытые дыры в системе безопасности
4. Контент восстановления от известного хорошего резервного копирования (у Вас есть резервное копирование, правильно?)
5. Посмотрите на что-то как Растяжка

Это могло бы быть полной чрезмерной реакцией на Вашу проблему, но пока Вы не будете знать масштаб 'стирания', Вы не будете знать, как далеко взять его.

Во-первых, проверьте журналы передачи FTP о index.php и проверьте, что дюйм/с соединений - является ими из иностранного государства как Китай, Россия и т.д. Если верный - изменяют пароль FTP, чистый сайт и вредоносное сканирование все ПК, где пароль использовался/сохранялся. Вредоносному программному обеспечению довольно свойственно украсть сохраненный пароль или включать клавиатурный перехватчик, которые отправляются злоумышленнику и используются, чтобы заставить сайты распределить/разместить вредоносное программное обеспечение. Кроме того, помните, что FTP отправляет все пароли в простом тексте, не используйте его открытый Wi-Fi или другие небезопасные сети.

если это не работает, проверьте сайт на: файл a) загружает сценарии. Проверьте на проверку путей/пути файла. Кроме того, проверьте, что тип файла действительно проверен, не просто расширение. Пантомима модификации Apache имеет небезопасную "функцию", таким образом, файлы как evilscript.php.gif будут выполняться как php. Касательно:

"Необходимо соблюдать осторожность, когда файл с несколькими расширениями связан и с типом MIME и с обработчиком. Это будет обычно приводить к запросу, являющемуся модулем, связанным с обработчиком. Например, если .imap расширение будет отображено на файле IMAP обработчика (от mod_imap), и .html расширение отображается на тексте/HTML типа MIME, то файл world.imap.html будет связан и с типом MIME обработчика файлов IMAP и с текста/HTML. Когда это будет обработано, обработчик файлов IMAP будет использоваться, и таким образом, это будут рассматривать как mod_imap файл карты изображения".

Решение: отключите php на каталогах, куда загруженные файлы перемещены.

b) include|require (_once). Они могут использоваться для удаленного включения файла, таким образом, взломщик может записать сценарий PHP, который будет выполняться в сервере и может измениться/удалить файлы. Ищите чему-то нравится, включают ($ _GET | $ _POST | $ _COOKIE | $ _REQUEST | $ _SERVER) (.? *) Решение: отключите remote_fopen, если Вашему сайту не нужны они. Иначе сделайте тот же надлежащий контроль ввода (Который был бы нормальной вещью сделать :). Кроме того, я предлагаю отключить register_globals.

c) Ввод данных пользователем Eval'ed / удаленные файлы. Помните, что ввод данных пользователем может находиться в базе данных.

Кроме того, проверьте свой сайт на загруженные бэкдоры, так называемые "оболочки". Самая безопасная вещь сделать состоит в том, чтобы восстановить от известного безопасного резервного копирования :)

Существует много способов сделать это. Есть ли какое-либо Поле ввода на Вашей основной странице или (другом), которого делает попытку coud быть неправильно проанализированным для использования?

Сначала сделайте файлы PHP читаемыми веб-сервером, но не перезаписываемые. Вторая проверка Ваши различные поля ввода для возможной эксплуатации.

это недавно довольно популярно у вредоносного программного обеспечения, крадя сохраненные пароли [чаще всего от общего командующего] и отправляя те учетные данные в центр управления. позже другое подключение машин через ftp, загрузите index.php/html и добавьте злонамеренный js/php. все автоматизированные.

Способ ограничить нападения веб-приложениями в апаче состоит в том, чтобы загрузить и точно настроить mod_security апача

Ссылка: посмотрите это Представление mod_security статья