Ben LAMP üzerinde çalışan bir web sitesine sahip - Linux, Apache, MySQL ve PHP. Geçtiğimiz 2-3 hafta içinde benim web PHP ve jQuery dosyaları gumblar.cn adında bir site malware enfekte olmuştur
Ben nasıl bu kötü amaçlı yazılım benim PHP dosyalarının içine alıyor ve nasıl yaparım tekrar ve tekrar meydana gelmesini önlemek anlayamıyorum.
Herhangi bir fikir?
Thanks Vinayak
GÜNCELLEME:
Your site is cracked, kraker sadece dosyaları değiştirin böylece.
Bir güvenlik uyarısı duyurulur zaman her zaman Linux işletim sistemi, Apache, MySQL, PHP ve web PHP programlarını yükseltmeniz gerekir.
Bunları düzenli olarak yükseltmeden açık hizmet çalışan Linux sunucuları internet üzerinde en savunmasız kutuları vardır.
Burada kimse size sağlanan bilgilere dayalı kesin bir çözüm sağlayabilir, böylece biz önerebilirsiniz tüm iyi güvenlik uygulamaları ve standartları takip etmek ve derhal zayıf noktaları düzeltmek olmasıdır.
Yazılım up-to-date olduğundan emin olun. PHP programlarında üzerinden patlatır yerel dosyalara erişmek, böylece onların son sürümlerinde çalışan konum herhangi bir üçüncü parti uygulamalar (Wordpress ve phpBB gibi özellikle çok yaygın programlar) tutmak ve ne yapabilirsiniz sağlamak için yapmak çok mümkün olduğunu sizin Sunucu hizmetlerinin (vb PHP, Apache,) doğru sürümlerini çalışıyor.
Güçlü parolalar kullanın. Güçlü bir parola karakter uzun bir rasgele liste. Bu senin hayatın ile ilgisi olmalı, hiçbir hazır kısaltmalar veya mnemonics olmalıdır, bu sözcüğü benzer olmamalı, ve farklı karakter sağlıklı interspersing içermelidir; sayılar, farklı durumlarda harfler ve semboller. Ayrıca fazla 26 karakter ideal, oldukça uzun olmalıdır. Bu yetkili yöneticilerinin saldırganlara karşı harekete geçmek için yeterli zaman için kimlik bruteforcing insanları tutmak yardımcı olmalıdır.
Bu özel durumda ne anlamak ve bunu düzeltmek için bir şeyler yapmak için barındırma sağlayıcı yöneticileriyle birlikte çalışın. Onlar olağandışı bir şey fark olmayabilir; Bu saldırı güvenilir bir birey tarafından işlenen veya bir yamasız varsa özel bir PHP uygulamalarında yararlanma ise, örneğin, kolay bir şifre varsa, ya da, bir yanlış kullanımını göstermek için hiçbir şey olurdu.
Paylaşılan bilgisayarlar da aynı yerel makineye erişimi olan birçok kişi var, bu yüzden dosya izinleri ve uygulama içinde ve genellikle hem yerel olarak erişilebilir açıkları yama gibi şeyler çok önemlidir. Ev sahibi bu iyi politikalar sahip olduğundan emin olun ve yazılım Hernekadar yerel bağlantıları veya kullanıcıları güvendiğini emin olun.
Saldırı (topluca bu tür bir şey yapmak için görünen bir siteden malware bir ithalat) ve doğası yararlanılabilen bir uygulama çalıştıran veya kullanıcı adı / şifre kombinasyonu yeterince güçlü değildi, ama sağlayıcı yöneticileri olduğunu düşündürmektedir gerçekten bu nasıl oldu hakkında doğru bilgi sağlamak için edebiliyoruz sadece olanlardır. İyi şanslar. :)
Şansı var saldırısına uğramış bilinen bir güvenlik açığı ile sunucuda bir uygulama olduğunu ve bir şey web sitenizde dosyaları değiştirilmiş veya yeni bir dosya yüklü vardır.
Gumblar.cn hakkında bilgi ararken onlar JS-Redirector-H adlı bir trojan kullanmak gibi görünüyor. Bu Burada söz konusu olan ne ise emin değil.
Bu sabitleme modifiye edilmiş bilmenin hiçbir yolu varsa, yedekten web sitenizi geri içerebilir. Kaynak kontrolü veya yeni bir sürümü varsa, bütün bir site diff yapmak mümkün olabilir. Ama aynı zamanda bu ilk etapta gerçekleşmesi için izin güvenlik açığını düzeltmek gerekir.
Şansı bazı güvensiz app, ya da bir app bir süre önce yüklü ama son zamanlarda güncel değil. Bu konuda şikayet var birkaç kişi Galerisi (yani PHP Galeri) kullandıklarını belirtmiştir. Ben bağlı eğer emin değilim gerçi.
Eğer sunucu yöneticisi değilseniz, sunucu admin konuşmak. Onlar yardımcı olabilir ve onları bu konuda bildirmek için akıllıca olacaktır.
Google Advisory: http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=en-US&site=http://gumblar.cn (linking doesn't work)
İlk olarak, hosting şirketinize başvurun ve bu rapor. Bu sunucu genelinde ise, onlar hakkında bilmeniz gerekir.
Bu gibi enfeksiyonların en sık nedeni (örneğin PHPBB, Mamboserver ve diğer popüler sistemleri gibi) savunmasız popüler PHP yazılımıdır. Eğer herhangi bir 3. parti PHP kodu çalıştırıyorsanız, en son sürümüne sahip olduğunuzdan emin olun.
Bu sadece sitenizi etkilediğini tespit ettiyseniz, bir yedekten geri yükleme. Eğer herhangi bir yedekleme yoksa, (son sürüme) sahip yeniden yükleyerek her şeyi (muhtemelen veritabanı geçirebilirsiniz) denemek ve (varsa) kendi PHP kod geçmesi.
PHP Programlar aslında PHP yorumlayıcısı tarafından sunucu üzerinde çalışan basit metin dosyalarıdır. uygulama bulaşmış ise, o zaman ben yedekte posiibilities olduğunu düşünüyorum:
1.They kendi sunucusunda bazı kod enjekte SİZİN uygulamada bazı güvenlik delik kullandık, şimdi onlar veritabanı bilgi PHP bazı dosyaları veya bazı değişti.
Bu durumda eğer, daha iyi çift kontrol size kullanıcı (metin girişleri, dosya yükleme, cookie değerlerine, ...) bilgi alma vardır her yerde, her şeyin iyi süzülür olun. Bu kullanıcının gelen şey filtrelemek için çok yaygın bir güvenlik uygulamasıdır. da daha iyi şu anda veritabanı (veya dosya sistemi) kaydedilir verilerin temiz olduğundan emin olun. Ben kullanıcı girişini süzmek için Zend Framework arasında Zend_Filter bileşenini kullanmanızı öneririz. çok tam özellikli filtre kitaplıkları orada vardır.
2.Satın sunucu üzerinde bazı program çalıştırmak olabilir, ki PHP kaynak dosyaları etkiliyor. böylece her nasılsa bazı program / komut dosyası sunucu çalışan başarmış, bu uygulama değişiyor.
Bu durumda eğer, ben senin çek tüm sunucu süreçleri önermek ve çalışan her süreci bildiğinizden emin olun. Ben bu daha mümkün olduğunu düşünüyorum rağmen.
Tamam, bu bir programlama soru değil ve biz burada bu tür sorulara tahammül olsaydı biz yakında kötü hosting hesapları ile ppl için bir ilk yardım / destek sitesi olurdu çünkü SO bunun için bir yer değildir.
Herhalde onlar düzeltmek için bilgi yok, bir sorun hakkında gerçekten kötü bir duygu kim birkaç kişi Fiyat aşağı çevirerek kötü hissediyorum çünkü ben sadece kapatma için oy vermedi.
Öncelikle: gumblar.cn için google, konuştuğumuz gibi biriken potentialy faydalı mesajların giderek artan sayıda vardır.
Gerçek bir acemi konum ve size burada cevapları şeyler herhangi alamadım hissediyorum o zaman sadece aşağıdakileri yapın:
Bu virüs / kötü amaçlı yazılım ve şu anda temizleyerek etkilenmiştir. Ben bu yararlı olacağını umuyoruz:
1) Büyük olasılıkla bilgisayarınızda bir trojan var. Bu basitçe (Başlat> Çalıştır ... veya Windows tuşu + R) çalıştırın ve "cmd" veya "regedit" yazın doğrulamak için. Beklendiği gibi olanlar ya kendi pencere açmaz ise, Js var: Redirector trojan. Ayrıca anti-virüs programları avast ve Malware Bytes nedense (olan sinsi trojan) için güncelleştirmeler bağlanamıyor olduğunu doğrulayın. Ayrıca, Denetim Masası'ndaki Güvenlik programı devre dışı olduğunu fark edeceğiz, virüs koruma devre dışı olduğunu söylemek tepsi simgeleri bir bildirim görülme olmazdı.
2) Bu açıkları inflash veya Internet Explorer kullanıyorsanız vermedi bile pdf eklentileri, böylece güvenli değildir görünüşte, bir very recent exploit olduğunu!
Bana gelince, benim PC yavaşlatan programları nefret, çünkü "el" benim Windows güncelleştirmeleri var, ve ben (tüm web bağlantıları tarama, vb) Yerleşik koruması yoktu inanıyorum, ve muhtemelen ziyaret ederek enfekte edildi başka hangi hack sitesi henüz kara listeye değildi. Ayrıca ben olmayan IE tarayıcıları emin fazla oldu! Ben komut vs ne merak ediyorum bazen kara uyarıyı görmezden, ve bir kez daha kötü, Windows gerçekten ne kadar unuttum. Sonuç: Otomatik Windows Güncellemeleri bırakın, minimal Yerleşik koruması (Avast Web Kalkanı + Ağ Kalkanı) var.
Bu FTP şifresini geri gönderen bir trojan olduğu için 3), parolalarınızı ne kadar iyi fark etmez!
4) Try to lceanup your PC with Malware or aVast, it will find a file ending with ".ctv" You MUST have a virus database dated 14 May or more recent. If you can't update (as explained above), then follow these instructions (you'll need to extrapolate but basically you have a file, the name may vary, which is pointed in the registry, and use HiJackThis to remove it, once you rebout without this file excuted, all is fine)
5) Elbette şifreleri güncellemek, AMA trojan ilk çıkarıldığından emin olun!
6) modifiye tüm sayfaların tam bir listesi için bir FTP günlüğünü almak için deneyin ve komut dosyası / hacker IP bulacaksınız ve tüm dosyaları dokundu.
Eğer "üretim" ortamının tam bir yerel kopyasını varsa 7), daha sonra güvenli sunucuda TÜM siteyi silmek için, ve tüm dosyaları yeniden yükleyin.
8) kadar temiz işlemi sırasında enfekte sitesini ziyaret DONT veya trojan yeniden kuracak! Eğer son Avast Home Edition ve "Web Kalkanı" koruma varsa bu size bir uyarı verir ve tarayıcınız tarafından yürütülen gelen sayfayı engeller.
Francis belirtildiği gibi, emin kendi yazılım güncel yapmak için hosting şirketi almaya çalışın.
Yanınızda, kısa sürede tamamen belirsiz bir şey için ftp şifrenizi değiştirin. Ben önce bu insanların başına gördüm. Bu 'hacker' do ftp hesabındaki bir kaba kuvvet nedir, bir kaç dosya indirmek biraz onları değiştirmek ve daha sonra enfekte kopyalarını yeniden yükleyebilirsiniz. Eğer ftp log dosyalarına erişiminiz varsa, muhtemelen sizin başka bir IP adresinin hesabınıza bir bağlantı göreceksiniz. Eğer hosting şirketi bu teslim ve kara listeye onlara sormak mümkün olabilir kendi sunucularına erişen o IP.
Bu web sitesi (Bahsettiğiniz gumblar.cn) kötü amaçlı yazılımlara karşı test ediliyor. Burada sonuçları izleyebilirsiniz: http://www.siteadvisor.com/sites/gumblar.cn/postid?p=1659540
Ben eski bir hosting sağlayıcısı bu bana ne gibi bir şey vardı. Her nasılsa, birisi, özel bir başlık indirmek ve tarayıcıda çalıştırmak için denemek için tarayıcınızın neden benim tüm PHP dosyaları içine enjekte edildi ve böylece bir şekilde Apache bulaştırmak başardı. Onlar got o sabit iken, hızlı çözüm, tüm benim PHP dosyaları aşağı çekmek ve benim dizin dosyası düz bir HTML dosyası değiştirmek oldu. Bu sizin için sorun durur olsun ya da olmasın, sunucu bulaşmış nasıl bağlıdır. Yapabileceğiniz en iyi şey ve belki de en çok sorumlu bir şey siteyi aşağı alarak ziyaretçileri korumak için, ve eğer mümkünse (metin dosyaları enfekte değilse), son zamanlarda ziyaret eğer bulaşmış olabileceğini belirten bir mesaj görüntüleyebilir.
Söylemeye gerek yok, ben sitemde enfekte kısa bir süre sonra sağlayıcıları hızlı hosting geçti. Benim hosting sağlayıcısı diğer pek çok yolu oldukça kötüydü, ama bu hemen hemen son saman oldu.
