私はLAMP上で動作するウェブサイトを所有しています - Linux、Apache、mySQL、PHP。過去2〜3週間で私のウェブサイトのPHPとjQueryファイルがgumblar.cnというサイトからマルウェアに感染してしまいましたPHPファイルにウイルスコードが埋め込まれています
このマルウェアはどのように私のPHPファイルに入ってしまいますか?それは何度も起きているからです。
アイデア?
UPDATE:クラッカーは、単にあなたのファイルを置き換えるよう
Looks like it is a cpanel exploit
あなたのサイトは、が割れています。
セキュリティアラートが通知されるたびに、常にLinux OS、Apache、MySQL、PHP、およびWeb PHPプログラムをアップグレードする必要があります。
定期的にアップグレードせずにオープンサービスを実行しているLinuxサーバーは、インターネット上で最も脆弱なボックスです。
ありがとうございました。私は共有ホスティングしています。 Linux OS、Apache、MySQL、PHPなどのすべてがウェブホスティング会社によって管理されるはずです。どのようにサイトがクラックされないことを保証するのですか?当分の間、私はサイト全体をもう一度アップロードしています。 – Vinayak
ホスティングサービスに、他のサイトにもクラックが入っていないかどうかを尋ねることができます。しかし、共有ホスティングを使用している場合は、問題はあなたのPHPプログラム(PHPサーバーではない)だと思います。誰がPHPのWebページを書いたのですか?あなた、オープンソースプロジェクト、またはホスティングサービスによって、あなたは?それを確認し、すべてを更新したことを確認してください。 – Francis
Francisのように、ホスティング会社にソフトウェアの最新バージョンを確認させてください。
あなたの側では、できるだけ早く完全に暗いものにあなたのFTPパスワードを変更してください。私はこれが前に人々に起こったのを見た。これらの「ハッカー」は、あなたのftpアカウントに無差別な力を持ち、いくつかのファイルをダウンロードし、わずかに変更して、感染したコピーを再度アップロードします。 ftpログファイルにアクセスできる場合は、あなたのアカウント以外のIPからアカウントに接続している可能性があります。これをあなたのホスティング会社に提出して、そのIPが自分のサーバーにアクセスするのをブラックリストに載せるように依頼することができます。
あなたが提供した情報に基づいて決定的な解決策を提供することはできませんので、良いセキュリティプラクティスと標準に従い、すぐに弱点を修正することをお勧めします。
ソフトウェアが最新であることを確認してください。 PHPプログラムの脆弱性を利用してローカルファイルにアクセスすることは可能です。最新のバージョン(特にWordpressやphpBBのような非常に広範なプログラム)で実行しているサードパーティ製のアプリケーションをそのまま使用してください。サーバーが正しいバージョンのサービス(PHP、Apacheなど)を実行しています。
強力なパスワードを使用してください。強力なパスワードは、長くてランダムな文字のリストです。あなたの人生とは何の関係もなく、すぐに利用できる頭字語やニーモニックを持たず、辞書の単語に似てはいけません。異なる文字の健康な散在が含まれているべきです。数字、異なる事例の文字、および記号。合理的に長く、理想的には26文字以上でなければなりません。これは、有能なシステム管理者が攻撃者に対処するのに十分な時間、資格情報を守るのを防ぐのに役立ちます。
ホスティングプロバイダの管理者と協力して、この特定のケースで何が起きたのかを理解し、修正する必要があります。彼らは珍しいことに気付かなかったかもしれません。たとえば、簡単なパスワードを持っている場合や、この攻撃が信頼できる個人によって行われた場合、またはカスタムPHPアプリケーションでパッチが適用されていない脆弱性がある場合、不適切な使用を示すものはありません。
共有ホストには同じローカルマシンへのアクセス権を持つ人が多数いるため、アプリケーション内でローカルアクセス可能な攻撃のファイル許可やパッチ適用などが一般的に非常に重要です。あなたのホストがこれに関して適切なポリシーを持っていることを確認し、あなたのソフトウェアがローカル接続やユーザーを明白に信頼しないようにしてください。
攻撃の性質(この種のことを行うようなサイトからのマルウェアのインポート)は、悪用可能なアプリケーションを実行していたこと、またはユーザー名とパスワードの組み合わせが十分に強くないことを示していますあなたのプロバイダの管理者は、実際にどのように起こったかについての正確な詳細を提供できる唯一のものです。がんばろう。 :)
あなたが言及したそのウェブサイト(gumblar.cn)は、マルウェアをテストされています。ここで結果を監視することができます:http://www.siteadvisor.com/sites/gumblar.cn/postid?p=1659540
そうではないようです – markus
PHPプログラムは実際にはPHPインタープリタによってサーバ上で実行される単純なテキストファイルです。あなたのアプリケーションが感染している場合、私はそこにposiibilitiesがあると思います:
1.あなたのアプリケーションにいくつかのコードを挿入するセキュリティホールを使用しています。あなたのデータベース情報の
この場合、ユーザーからの情報(テキスト入力、ファイルのアップロード、Cookieの値など)を取得する場所を1つずつ確認し、すべてが適切にフィルタリングされていることを確認してください。これは非常に一般的なセキュリティ慣行で、ユーザーからのものをフィルタリングするものです。データベース(またはファイルシステム)に現在保存されているデータがきれいであることを確認することをお勧めします。 Zend FrameworkのZend_Filterコンポーネントを使用してユーザー入力をフィルタリングすることをお勧めします。そこには多くのフル機能のフィルタライブラリがあります。
2.あなたのPHPソースファイルに影響を与える、あなたのサーバ上でいくつかのプログラムを実行している可能性があります。だから何とか彼らはあなたのアプリケーションを変更しているいくつかのプログラム/スクリプトを実行しています。
この場合、すべてのサーバープロセスを確認し、実行中のすべてのプロセスを確認してください。私はこれが可能ではないと考えています。
既知の脆弱性が攻撃され、Webサイトのファイルが変更されたか、新しいファイルがインストールされた可能性があります。
gumblar.cnに関する情報を検索すると、JS-Redirector-Hというトロイの木馬を使用しているように見えます。これがここに関わっているのかどうかは分かりません。
これを修正するには、何が変更されたかわからない場合は、バックアップからWebサイトを復元する必要があります。ソースコントロールまたは最新バージョンを使用している場合は、サイト全体の差分を行うことができます。しかし、これを可能にするセキュリティ上の脆弱性を修正する必要もあります。
これはいくつかの安全でないアプリ、またはあなたがしばらく前にインストールしたアプリですが、最近アップデートしていない可能性があります。これについて不平を言う少数の人々はギャラリー(すなわちPHPギャラリー)を使用すると言いました。私はそれが接続されているかどうかはわかりませんが。
サーバー管理者でない場合は、サーバー管理者に相談してください。彼らは助けることができるかもしれません、そして、これについて彼らに知らせることは賢明でしょう。
これはプログラミングに関する質問ではありません。私たちがこのような質問を受け入れるならば、間もなく間違った共有ホスティングアカウントを持つpplの応急処置/サポートサイトとなるでしょう。
私はいくつかのpplを落とすことが悪いと感じているので、閉会に投票しませんでした。おそらく、彼らは修正する知識がない問題について本当に悪いと感じています。
まず、gumblar.cnのgoogleをご覧ください。私たちが話しているように、潜在的な有益な投稿が増えています。
あなたは本当の初心者だと、あなたはここの回答で物事のいずれかを取得しないと感じた場合、単に次のようにします。
Googleの諮問: http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=en-US&site=http://gumblar.cn(リンクは動作しません)
まず、あなたのホスティング会社に連絡して、このことを報告しています。これがサーバー全体の場合は、そのことを知る必要があります。
このような感染の最も一般的な原因は、脆弱な一般的なPHPソフトウェア(PHPBB、Mamboserverなどの一般的なシステム)です。サードパーティのPHPコードを実行している場合は、最新のバージョンを使用していることを確認してください。
これがサイトにのみ影響すると判断した場合は、バックアップから復元してください。バックアップがない場合は、持っている(おそらくデータベースを移行することができます)最新のバージョンにすべてを再インストールして、自分のPHPコード(ある場合)を実行してみてください。
私はこのウイルス/マルウェアの影響を受けて現在浄化されています。これが参考になることを願っています:
1)PCにTROJANがある可能性が最も高いです。これを確認するには、([スタート]> [ファイル名を指定して実行]またはWindowsキー+ R)を実行し、 "cmd"または "regedit"と入力します。どちらかが期待どおりにウィンドウを開いていない場合は、Js:Redirectorトロイの木馬があります。何らかの理由でアンチウイルスプログラムaVastとMalware Bytesがアップデートに接続できないことを確認することもできます(悪意のあるトロイの木馬です)。さらに、コントロールパネルのセキュリティプログラムが無効になっていることに気づくでしょう。ウイルスアイコンが無効になっていることをトレイアイコンで確認できませんでした。
2)これはvery recent exploitで、明らかに脆弱性のあるinflashやpdfプラグインなので、Internet Explorerを使用していなくても安全ではありません!
私のPCの速度を落とすプログラムが嫌い、Windowsのアップデートが「マニュアル」になっていて、常駐保護(すべてのWeb接続のスキャンなど)がなかったと思います。まだブラックリストに載っていない別のハッキングされたサイトを訪れて感染した可能性があります。また、IE以外のブラウザにも自信がありました。私はスクリプトが何をするのか不思議で、BADのWindowsが本当にどういうものかをもう一度忘れてしまい、ブラックリストの警告を無視することがあります。結論:Windows Updateを自動的に常駐させ、常駐保護を最小限に抑えます(aVast Web Shield + Network Shield)。
3)これはあなたのFTPパスワードを返信するトロイの木馬ですので、あなたのパスワードがどれほど良いかは関係ありません!
4)MalwareまたはaVastを使用してPCを浄化しようとすると、 ".ctv"で終わるファイルが見つかる。 5月14日以降のウイルスデータベースが必要です。 (上記の説明どおりに)更新できない場合は、these instructionsに従ってください(ただし、推測する必要がありますが、基本的にファイルがあります。名前はレジストリに記載されていて、HiJackThisを使用して削除してくださいあなたのパスワードを更新してください、しかし、最初にトロイの木馬が削除されていることを確認してください!
6)変更されたすべてのページの正確なリストについては、FTPログを取得しようとすると、スクリプト/ハッカーのIPとすべてのタッチファイルが見つかります。
7)「プロダクション」環境の完全なローカルコピーがある場合は、サーバー上のすべてのサイトを削除してすべてのファイルを再アップロードするのが最も安全です。
8)駆除プロセス中に、感染したサイトにアクセスしないと、トロイの木馬が再インストールされます。最新のaVast Home Editionと「Web Shield」保護機能を備えている場合、警告が表示され、ブラウザによってページが実行されなくなります。
私はこれが古いホスティングプロバイダで私に起こったようなものでした。どういうわけか、誰かが何らかの方法でApacheに感染して、特別なヘッダがすべてのPHPファイルに挿入され、ブラウザがブラウザでダウンロードして実行しようとしました。彼らはそれを修正したが、迅速な解決策はすべての私のPHPファイルをダウンし、私のインデックスファイルをプレーンなHTMLファイルに変更することでした。これが問題を停止するかどうかは、サーバーがどのように感染しているかによって異なります。最も良いことはおそらく最も責任あることは、サイトを奪って訪問者を保護し、可能であれば(テキストファイルが感染していない場合)、最近訪問した場合に感染している可能性があるというメッセージを表示することです。
言うまでもなく、私のサイトが感染した後すぐにホスティングプロバイダを切り替えました。私のホスティングプロバイダは、他の多くの点でかなり悪かったですが、これはほとんど最終的なものでした。
私は新しいタグを導入しています:ohnosharedhosting –
聖なる迷惑メール - 回答バットマン!プログラマー以外のコミュニティは、stackoverflowオーディエンスよりもプレイフレンドリーではないようです。 – thomasrutter
が来たら、そのタイトルを変更しましょう。 PHPのウイルス?それは誤解を招く – zalew