web-dev-qa-db-fra.com

site Web client compromis, a trouvé un fichier .php étrange. des idées?

Je soutiens des travaux pour une entreprise de développement Web et j’ai trouvé un fichier suspect aujourd'hui sur le site Web de l'un de nos clients, appelé "hope.php", qui contenait plusieurs commandes eval (gzuncompress (base64_decode ('....'))) ( qui, sur un site comme celui-ci, indique généralement qu’ils ont été piratés).

En recherchant le site compromis sur Google, nous avons obtenu une série de résultats qui renvoient à hope.php avec diverses chaînes de requête qui semblent générer différents groupes de termes de référencement, comme ceci:

search results

(le deuxième résultat du haut est légitime, tout le reste ne l'est pas)

Voici la source de "hope.php": http://Pastebin.com/7Ss4NjfA

Et voici la version décodée que j’ai obtenue en remplaçant les eval () par echo (): http://Pastebin.com/m31Ys7q5

Des idées d'où cela vient ou ce qu'il fait? Bien sûr, j'ai déjà supprimé le fichier du serveur, mais comme je n'ai jamais vu un code de ce type, je suis plutôt curieux de connaître son origine. Où pourrais-je aller pour trouver plus d'informations sur quelque chose comme ça?

phpsecurityseo
4
Kevin Strong

Votre site Web a été compromis si vous voyez des fichiers étranges qui ne sont évidemment pas les vôtres.

Étapes à suivre:

  1. Changer tous les ftp/logins : Cela garantira que s'il s'agissait d'un compte ftp compromis, le pirate informatique devrait à nouveau trouver votre mot de passe
  2. Sécurisez votre script : Je vous conseillerais d'utiliser un testeur de pénétration tel que nmap ou Netsparker pour vérifier pour les vulnérabilités d'injection sql, les vulnérabilités d'injection xss ou autre.
  3. Cela provient peut-être d'un rootkit ou d'un kit de contrôle, ce qui signifie que le serveur entier est compromis. Vous devez reconstruire le serveur Apache à partir de zéro ou restaurer l'intégralité de Shebang à partir d'une sauvegarde.
  4. Vérifiez toutes les personnes : je n'accuse aucun partenaire qui travaille également sur votre site de le faire, mais vous devez vous assurer qu'ils n'ont pas t fait quelque chose de stupide comme partager leurs mots de passe avec des sites obscurs.
  5. Empêchez les utilisateurs d'accéder à "hope.php" sur votre serveur : configurez votre fichier .htaccess pour refuser l'accès à tout fichier nommé "hope". php ".

Ce code devrait le faire (je ne l'ai pas testé, mais cela devrait fonctionner):

<Files ~ "hope\.php$">
Order allow,deny
Deny from all
</Files>
  1. Effectuez une recherche : Assurez-vous qu'aucun autre fichier étrange ne se trouve sur votre serveur et assurez-vous que tous les fichiers qui se trouvent sur le serveur sont les vôtres.
  2. Décryptez complètement le fichier : Si vous pouvez trouver un nom ou un auteur, vous pouvez mieux déterminer la source. Les créateurs de scripts comme celui-ci sont souvent narcissiques et se reconnaissent presque toujours quelque part.
  3. Plus important encore, ne réagissez pas de manière excessive à tout ce que vous trouvez : Mon site a déjà été piraté et ce fichier php n'a pas été masqué. Dans celui-ci, il y avait des variables fortement cryptées nommées trucs comme $backdoor et des trucs comme ça qui sonnaient effrayants. Lors du déchiffrement, ils se sont retrouvés en morceaux du modèle HTML pour le script Shell. La variable $backdoor était en réalité juste <img src="http://linktoheaderimage" />.

C’est le meilleur conseil que je puisse vous offrir, j’espère que votre problème sera résolu.

EDIT: En fait, je suis allé de l'avant et ai exécuté le script sur un codepad , et il ne semble pas faire grand chose. Méfiez-vous d'elle. Je vais examiner tout le code et voir si je peux déterminer ce qui se passe avec cette chose ...

5
Cyclone

Voici un exemple de serveur piraté qui a été créé en dérobant des informations FTP. Toutes vos questions sur la façon de le supprimer complètement peuvent être trouvées ici: http://blog.unmaskparasites.com/2011/05/05/thousands-of-hacked-sites-seriously-poison-google-image- résultats de recherche/comment-page-1 /

Le plus important:

Si votre site est l'un des sites compromis hébergeant des pages de portes malveillantes:

  • Analysez minutieusement votre ordinateur pour détecter les logiciels malveillants
  • Une fois que votre ordinateur est propre, changez tous les mots de passe du site (même pour les sites
    qui ne semblent pas être compromis
    encore). Ne pas enregistrer les mots de passe en FTP
    clients - la plupart d’entre eux ne peuvent pas protéger
    vos mots de passe contre les logiciels malveillants. Pensez à utiliser des gestionnaires de mots de passe (comme
    KeePass) qui chiffrent toutes les données avec un mot de passe principal.
  • Utilisez SFTP au lieu de FTP si possible.
  • Maintenant, supprimez le script .php de la porte, le fichier .htaccess avec les règles de réécriture si
    il a été créé, le répertoire .log /
    et tout son contenu.
  • Vous devez également analyser votre serveur pour rechercher les fichiers suspects qui pourraient avoir été téléchargés sur votre serveur à l’aide des demandes? Up100500.
1
Shaz

C'est probablement juste un lien ferme . Le fichier lui-même n'est pas malveillant, mais depuis qu'ils l'ont là-bas, vous ou une personne partageant votre serveur, a très probablement une faille de sécurité quelque part.

0
Frits van Campen