Die Variable $s21
gleich base64_decode
und $s22
zu $_POST['nd335c3']
gleich ist.
Immer wenn eine POST
Anfrage an Ihren Server gestellt wird, führt sie den Befehl in $_POST['nd335c3'];
aus, was erwartungsgemäß sehr gefährlich ist.
Ich bezweifle stark, dass Ihr Server gehackt wurde, stattdessen wurde Ihr Website-Skript ausgenutzt. Gibt es irgendwo auf Ihrer Website, wo Benutzer Dateien hochladen können? Ich habe eine Menge Zeug mit WordPress mit schlecht codierten Plugins gesehen.
Zur Behebung des Problems
das Problem zu beheben, löschen Sie zunächst diese Datei oder den Abschnitt des Codes. Möglicherweise möchten Sie Ihre Site herunterfahren und in den Wartungsmodus versetzen, bis Sie alle anderen Dateien durchsuchen und überprüfen können, die nicht geändert wurden.
Sobald die Site wieder betriebsbereit ist, protokollieren Sie die Anforderungen, an denen die gehackte Datei gefunden wurde, oder Anforderungen, die dieselbe POST-Variable enthalten.
Sobald Sie einen Benutzer haben, der Daten an den Exploit sendet, können Sie alle anderen Protokolldateien überprüfen und sie mit derselben IP-Adresse und demselben Benutzeragenten vergleichen. Dies ist ein Weitwinkel, aber hoffentlich benutzen sie nur einen Computer, um den Angriff auszuführen. Aus den Logs können Sie sehen, was genau sie besucht haben, um den Angriff auszuführen und die ausgenutzte Datei hochzuladen.
Verhinderung dieser in die Zukunft
- Installieren Sie keine Code Sie online auf Ihrer Website finden, wenn Sie die Entwickler vertrauen und glauben, dass es völlig sicher ist und wissen, dass sie Updates veröffentlichen.
- Stellen Sie Ihren Webserver so ein, dass er außer dem Upload-Verzeichnis keinen Schreibzugriff hat und
/tmp
- Überprüfen Sie alle hochgeladenen Dateien, um sicherzustellen, dass sie genau das sind, was Sie erwarten.
- Lassen Sie PHP nicht laufen, wo Dateien hochgeladen werden, lassen Sie die Dateien als statische direkte Dateien herunterladen. Auf diese Weise kann es, wenn eine Datei hochgeladen wurde, die Ihre Dateiprüfungen umgeht, immer noch keinen Schaden anrichten.
, wenn Sie das Virus PHP interessiert sind/Agent.NEH Trojaner – Martin
Das ist interessant. Vielen Dank. Weißt du woanders kann ich Informationen darüber finden/irgendwo anders, wo es sich möglicherweise infiziert hat? –
Ha, ich sehe, wie du es herausgefunden hast. –