Как узнать, что ваш PHP сайт был взломан Хабрахабр. Сайт моего друга недавно был взломан, на нем была запущена старая версия IP. Board, в которой есть уязвимость локального внедрения кода local file inclusion. Этот пост не будет посвящен IP. Board или другому php коду, он покажет, как найти потенциально вредоносный php код на ваших серверах. Наконец, покажу пример того, что злоумышленники могут загрузить на взломанный сайт. Проверьте логи доступа. Что бы с чего то начать, я бы хотел поделиться некоторыми записями из журнала доступа access log взломанного сайта моего друга. Ipre. MOVED. Тем не менее, в данном конкретном примере, уязвимость в устаревшей версии IP. Board была использована, и атакующие смогли добавить свои собственные скрипты в директории доступные для записи, такие как пользовательский каталог загрузки и каталог, в котором IP. Board хранит кэшированные изображения темы оформления. Это общий вектор атаки, много людей изменяют права на эти каталоги на 7. Рассмотрим подробнее приведенные выше строки журнала, ничего не цепляет васСледовательно, вопрос закрыт. В папке sitesdefaultfiles но стандарным, смотрю, мало кто пользуется. FILES я так понимаю, папка закрыта от записи ее невладельцам, файлы. Обратите внимание, что в журнале доступа POST запросы, а не GET запросы. Скорее всего, злоумышленники хотели сделать журнал доступа более неприметным, так как большинство журналов не сохраняют post данные. Выявление вредоносных PHP файлов. Есть несколько способов, что бы выявить подозрительные php файлы на вашем сервере, вот самые лучшие. Подсказка эти команды, выполняйте из корневой директории вашего сайта. Поиск недавно измененных PHP файлов. Давайте начнем с простого, скажем, вы не делали никаких изменений в php коде некоторое время, следующая команда ищет все php файлы в текущем дереве каталогов, которые изменились за последнюю неделю. Можете изменить опцию mtime по желанию, например mtime 1. Примечание эта команда будет выдавать ложные результаты, если вы сами изменяли php файлы в данный период времени. Следующие методы являются гораздо более эффективными. Искать все PHP файлы с подозрительным кодом. Это далеко не лучший подход, следующие команды ищут php файлы содержащие атакующие сценарии. Мы начнем с простого и получим больше с помощью расширенного поиска. Первая проверка файлов которая содержит eval, base. Можно изменить этот параметр в любое существующее имя каталога для уменьшения результатов поиска, например find wp admin type f name. Чтобы пойти дальше я бы воспользовался этой объединенной командой, которая является более общейfind. Взгляните на выражение сверху, по которому мы ищем, это eval str. Выше приведенное выражение будет справедливо для следующих строк evalstr. Можно скомбинировать все эти значения в одну команду find. Клавиша f отвечает за прокрутку вперед, клавиша q за выход. Это закрывающая скобка, а x. B точка с запятой. Вы можете убедиться в этом запустив echo chrhexdecx. B. Можете использовать find для поиска этих шестнадцатеричных кодов в php файлах для дальнейшей проверки. В этом случае код может выглядеть естественно и соответствовать стилю существующего сценария либо может быть запутанным. Для того чтобы решить эту проблему вам нужна чистая копия вашего кода, если вы пользуетесь широко распространенными php скриптами, например wordpress, vbulletin, IP. Board и т. д. Если нет, надеюсь вы используете git или другие системы контроля версий и вы можете получить чистую версию вашего кода. Для этого примера я буду использовать wordpress. У меня есть две папки wordpress clean, которая содержит только что скачанную копию wordpress и wordpress compromised, которая содержит угрозу где то в файлах. Mar 2 1. 5 5. 9. Во первых, атакующий узнал бы полезную информацию payload. В результате его выполнения будет создан файл wp contentuploadswp upload. Это вроде не плохо, но дело в том что злоумышленник может запустить любой php код, который пожелает. Примечание это сработает только если каталог wp contentuploads будет доступен для записи. Почти всегда в зависимости от настроек веб сервера вы можете изменять права чтениязаписи на другие файлы. Всегда ищите каталоги доступные для загрузки исполняемого кода. Используя методы, которые представлены выше, легко найти php код в вашей загрузочной директории. Для wordpress это было бы find wp contentuploads type f name Совет вот очень простой bash скрипт, который ищет директории доступные для записи и php файлы в них. Результат будет сохранен в файл results. Скрипт работает рекурсивно. Samsung Sidesync Для Компьютера. Общая загрузка php shell на уязвимых сайтах, по существу является инструментом, который дает злоумышленнику файл браузер. Они могут использовать этот инструмент, что бы загрузить атакующие скрипты по всем папкам на сервере доступных для записи, например каталог загрузки. Примечание взломщики обычно пытаются загрузить изображения, которые содержат php код, поэтому проверяйте и другие расширения, методами перечисленными выше. Этот файл был загружен как jpg изображение на взломанный сайт. Похоже он был ошибочно принят за бинарные данные. Вот тот же файл в более читаемом формате. Все еще не можете прочитать Так же как и я до более глубокой проверки. Весь этот код предназначен для запуска этой функции if FROM. Вы так же можете провести более тщательную проверку. Перейдите на ваш сайт, после загрузки страницы посмотрите ее исходный HTML код и сохраните его где то на вашем компьютере, например mywebsite. Выполните следующую командуgrep i lt iframe mywebsite. Взломщики часто вставляют iframe на взломанные сайты, проверьте все страницы сайта Совет используйте расширение firebug для firefox, чтобы просмотреть содержимое html вашего ресурса, злоумышленник может использовать javascipt для создание iframe, они не будут отображаться при просмотре исходного кода страницы в браузере, потому что DOM изменяется после загрузки страницы. Существует так же расширение Live HTTP Headers для firefox, которое покажет все текущие запросы на вашей странице. Это позволит легко увидеть веб запросы, которых не должно быть. Поиск в базе данных. Возможно злоумышленник добавил код в базу данных. Это будет только в том случае если ваш скрипт хранит пользовательский код, например плагины, в базе данных. Так делает v. Bulletin. Хотя это бывает редко, но вы должны это знать. Если вы в этом случае были взломаны, то злоумышленник вероятно вставить iframe в таблицы, которые отображают данные на вашем сайте. В этом примере мы будем использовать mysql или его производные. Для этого я бы хотел воспользоваться PHPMy. Admin и это для меня не обычно, я предпочитаю использовать инструменты командной строки, кода они доступны, однако этот инструмент является удобным для поиска. Лично я не запускаю PHPMy. Admin на рабочем сервере, я скачиваю копию базы данных и запускаю ее на локальном сервере. Если база данных большая, не рекомендуется искать небольшие куски текста на рабочем сервере. Откройте PHPMy. Admin выберите базу данных и нажмите Search. Вы можете искать такие строки как base. Результатом поиска будет список всех правил перенаправлений, в которых могут быть и вредоносные правила. Было бы не плохо поискать использования HTTP. Предыдущие команды можно легко изменить, просто поменяйте ключевое слово перед точкой запятой. Для повышения уровня безопасности, если вы можете, отключите использование. В реальном мире. Итак, почему люди хотят взломать ваш сайт, что это значит для них Для одних это хобби, а для других источник дохода. Вот пример атакующего скрипта загруженного на взломанный сайт. Он основан исключительно на post операциях, большинство логов веб серверов были бы бесполезны в данном случае. Я смог получить логи post запросов Array. Ключи в каждом post запросе могут изменятся и скрипт очень находчивый, он проверяет установленные функции и приспосабливается к этому. Например если php mail недоступен, он будет пытаться создать сокет на 2. SMTP. Если вам интересно расшифровать данные злоумышленников, воспользуйтесь функцией которая называется n. Загадочные данные POST проставляют адрес назначения и содержание e mail.