Hướng dẫn can a php file be malicious? - một tập tin php có thể độc hại không?

Chúng ta đều biết tại sao các tác nhân xấu lây nhiễm các trang web: Tăng tiền tệ, tăng xếp hạng SEO cho các chiến dịch phần mềm độc hại hoặc spam của họ và một số lý do khác được giải thích trong bài đăng của chúng tôi về các động lực của hacker.

Nó đánh bại mục đích của cuộc tấn công nếu phần mềm độc hại dễ dàng và nhanh chóng bị loại bỏ. Những kẻ tấn công đã phát triển một số phương pháp để bảo vệ công việc của họ vì chúng tôi sẽ khám phá trong bài đăng này. Chúng tôi cũng sẽ xem xét cách bạn có thể loại bỏ nhiễm trùng này khỏi một trang web bị xâm phạm.

Phần mềm độc hại này trông như thế nào?

Trong hầu hết các trường hợp của loại nhiễm trùng này, chúng tôi sẽ tìm thấy một index.php đã sửa đổi:

Không có vấn đề gì nếu trang web của bạn không chạy WordPress, những kẻ tấn công thường sẽ thay thế index.php bằng một bản sao bị nhiễm của tệp wordpress index.php.

Chúng ta cũng thường thấy hàng trăm hoặc đôi khi hàng ngàn tệp .htaccess bị nhiễm nằm rải rác trong các thư mục trang web. Điều này được thiết kế để ngăn các tệp hoặc công cụ PHP tùy chỉnh chạy trên trang web hoặc để cho phép các tệp độc hại chạy trong trường hợp có một số giảm thiểu đã có.

Trong những trường hợp hiếm hoi, những kẻ tấn công sẽ để lại một bản sao của tệp index.php gốc trên máy chủ có tên Old-index.php hoặc 1Index.php mà chúng ta có thể đổi tên lại thành index.php. Trong hầu hết các trường hợp, các tệp bị nhiễm sẽ được thay đổi thành 444 quyền và cố gắng xóa hoặc làm sạch các tệp đó trực tiếp không thành công vì phần mềm độc hại sẽ ngay lập tức tạo một bản sao mới bị nhiễm bệnh.444 permissions and attempting to remove or clean those files directly is unsuccessful since the malware will immediately create a new infected copy.

Làm sạch nhiễm trùng

Những bước đầu tiên

Như chúng ta đã thấy từ .htaccess bị nhiễm bệnh, những kẻ tấn công đã tạo một danh sách các tệp được phép chạy trên máy chủ: about.php, radio.php, v.v., ngăn chặn bất kỳ tệp PHP nào khác tải. Các tệp này thường sẽ không tồn tại trên máy chủ nhưng sẽ chạy như các quy trình độc hại. Các quy trình đang chạy liên tục trên máy chủ là những gì cho phép phần mềm độc hại tự động và ngay lập tức tái sử dụng trang web sau khi nhiễm trùng bị loại bỏ.about.php, radio.php, etc, preventing any other PHP files from loading. These files will usually not exist on the server but will run as malicious processes. The persistent, running processes on the server are what allows the malware to automatically and immediately reinfect the site once the infection is removed.

Bước đầu tiên để cố gắng dừng phần mềm độc hại là tạo một tệp từ một trong những tên đó và thêm nội dung sau. Ví dụ: trong radio.phpradio.php

Lưu ý: Tên tệp phải khớp với một trong những tên được liệt kê trong .htaccess vì đó là những tệp duy nhất được phép chạy trên máy chủ. Điều này sẽ đảm bảo lệnh của chúng tôi được chạy thành công.

Nội dung của tệp này sẽ tìm kiếm tất cả các quy trình PHP đang chạy và cố gắng dừng các quy trình đó.

Sau đó chúng ta có thể tải tệp đó trong trình duyệt.

hxxps://yourwebsite[.]com/radio.php

Bạn đã giành được bất kỳ nội dung nào trong trình duyệt nhưng nếu quá trình thành công, bạn sẽ có thể đổi tên hoặc xóa .htaccess và index.php mà không thấy bản sao mới bị nhiễm bệnh được tạo. Nếu bạn không thể truy cập tệp bạn đã tạo, bạn sẽ cần tiến hành các bước SSH bên dưới.

Điều quan trọng cần lưu ý là một số phần mềm độc hại có thể không tạo lại các tệp bị nhiễm ngay lập tức và & NBSP; Bạn sẽ muốn tải trang web của mình một vài lần, kiểm tra các tệp được tái cấu trúc sau mỗi lần thử.

Khi bạn đã xác nhận rằng các tệp sẽ không quay lại, bạn sẽ cần phải loại bỏ phần còn lại của nhiễm trùng.

Sự kiên trì thông qua các tệp lõi WordPress

Nếu phần mềm độc hại vẫn còn có mặt, có thể bộ phận lại tồn tại ở đâu đó trong các tệp WordPress cốt lõi. Một phương thức chúng ta thường thấy là tệp In-plugin.php được sửa đổi được thiết kế để tạo lại index.php và .htaccess:

Sau khi xóa nội dung đó, Index.php và .htaccess nên được mở khóa và bạn có thể tiến hành làm sạch các tệp đó cùng với phần còn lại của nhiễm trùng. Mặc dù plugin.php là một điểm tấn công phổ biến, chúng tôi đã thấy mã tương tự trên các tệp lõi khác.

Một tùy chọn bạn có là thay thế tất cả các tệp trang web lõi bằng các bản sao mới và để cài đặt lại các chủ đề và plugin của bạn. Một số bộ tái cấu trúc bị xáo trộn nặng nề và được thiết kế để giữ tốt. Cũng không có gì lạ khi những kẻ tấn công tải các plugin giả lên thư mục WP-Content/Plugins sẽ không hiển thị từ WP-Admin.

Tiến hành qua SSH

Nếu các nỗ lực trước đây để làm sạch chỉ số bị nhiễm.php hoặc .htaccess đã không thành công, bạn có thể cần phải có quyền truy cập SSH hoặc tải thiết bị đầu cuối cPanel để kiểm tra các quy trình đang chạy.

Chạy lệnh hàng đầu (và nhấn phím ‘C, để mở rộng đầu ra) hoặc PS PS -AUX, và tìm kiếm bất cứ điều gì lạ ở đó. Thường thì những trường hợp này sẽ tiết lộ một cái gì đó như thế này:c’ key to expand the output) or “ps -aux” and look for anything strange there. Often these cases will reveal something like this:

wp-content/uploads/2021/lock360.php

Hoặc cái này:

wp-includes/l.php

Trong trường hợp này, chúng ta có thể thấy quá trình chạy với PID 664739 và chúng ta có thể giết quá trình đó.

Nếu quá trình vi phạm chịu trách nhiệm tái tạo index.php, bạn sẽ có thể đổi tên tệp mà không thấy bản sao mới ghé vào và bạn sẽ có thể tiến hành làm sạch phần còn lại của nhiễm trùng.

Đối phó với phần mềm độc hại dựa trên bộ nhớ

Trong những trường hợp hiếm hoi, phần mềm độc hại sẽ nằm trong bộ nhớ PHP-FPM. Nếu index.php vẫn đang được tạo lại sau khi các bước trên đã được hoàn thành, hãy chạy đầu và kiểm tra sự hiện diện của PHP-FPM.top and check for the presence of php-fpm.

Mặc dù điều này thường sẽ không khắc phục được vấn đề, bạn có thể cố gắng xóa opcache. Tạo một tệp trong trang web Tài liệu gốc có tên opcache.php:opcache.php:

OPCache cải thiện hiệu suất PHP bằng cách lưu trữ mã byte được biên dịch sẵn trong bộ nhớ chia sẻ, do đó loại bỏ sự cần thiết của PHP để tải và phân tích các tập lệnh trên mỗi yêu cầu. Do đó, phần mềm độc hại có thể tồn tại trong OPCache sau khi được làm sạch từ các tệp trang web hoặc cơ sở dữ liệu.
Sau đó, bạn có thể kiểm tra điều đó trong trình duyệt và điều này sẽ cố gắng xóa Opcache:
hxxp://yourwebsite[.]com/opcache.php
Nếu OPCache không được bật hoặc xóa mà không khắc phục được sự cố, PHP-FPM sẽ cần phải được khởi động lại. Bạn có thể cần truy cập sudo để khởi động lại dịch vụ. Tuy nhiên, nếu có nhiều trang web trên máy chủ thì tất cả chúng sẽ cần được làm sạch, nếu không chúng có thể sẽ tái sử dụng lẫn nhau.
Xin lưu ý rằng việc khởi động lại dịch vụ sẽ phá vỡ tất cả các phiên hoạt động trong tất cả các trang web-không có cách nào để nhắm mục tiêu một nhóm PHP-FPM cụ thể cho các mục đích này. Khởi động lại PHP-FPM cũng sẽ phụ thuộc vào phân phối Linux được sử dụng và tên/phiên bản cụ thể của dịch vụ.
Nếu phần mềm độc hại vẫn còn đó, chúng ta sẽ cần điều tra thêm.
Sự kết luận
Mặc dù những kẻ tấn công luôn tìm kiếm những cách mới để lây nhiễm các trang web, nhưng có một số bước phổ biến bạn có thể thực hiện để giảm thiểu các bệnh nhiễm trùng đó.
Đặt trang web của bạn phía sau tường lửa.
Thường xuyên thay đổi tất cả các mật khẩu quản trị viên được liên kết với trang web của bạn. Điều này bao gồm Bảng điều khiển quản trị viên, CPANEL/FTP, SSH và email. Đọc bài đăng trên blog của chúng tôi về quá trình tạo mật khẩu an toàn.
Giữ tất cả các plugin, chủ đề và CMS của bạn được cập nhật mọi lúc; Loại bỏ bất kỳ plugin hoặc chủ đề không cần thiết - kẻ tấn công luôn đứng đầu các lỗ hổng mới và chưa được khám phá.
Nếu bạn chưa đăng ký Dịch vụ bảo mật trang web của chúng tôi, chúng tôi cung cấp các tùy chọn để làm sạch phần mềm độc hại và giữ cho trang web của bạn được bảo vệ.