Hướng dẫn can a php file be malicious? - một tập tin php có thể độc hại không?
Đã hỏi 4 năm, 4 tháng trước 4 years, 4 months ago Show
Đã xem 3k lần 3k times Những trang web có hại gì có thể chứa mã PHP độc hại gây ra? Một ví dụ về một đoạn mã PHP có khả năng gây hại cho máy tính của bạn hoặc đánh cắp thông tin? Tôi biết rằng hầu hết nếu không phải tất cả mã phía máy khách không thể gây ra bất kỳ tác hại nào, nhưng làm thế nào về mã phía máy chủ, nó có thể gây ra gì? Tôi luôn tò mò về cách một trang web có thể gây hại cho máy tính của bạn ... Đã hỏi ngày 7 tháng 6 năm 2018 lúc 0:39Jun 7, 2018 at 0:39
4 Tất cả đều thuộc về thông tin đăng nhập mà mã PHP đang chạy trên máy chủ. Nếu quy trình Để hiểu đầy đủ câu hỏi này, người ta cần hiểu Linux hoạt động như thế nào, nếu máy chủ web đang chạy theo Linux, để hiểu đầy đủ mức độ của thiệt hại có thể. Nếu nó chạy trong Windows, thì đó sẽ là điều tương tự, chỉ có thiệt hại sẽ đến mức mà chủ sở hữu của quy trình có thể sử dụng tài nguyên của máy. Những điều mà các loại virus PHP thường làm là:
Đó chỉ là một chút thôi. Họ có thể sử dụng khá nhiều máy chủ của bạn để chạy bất kỳ phần mềm nào. Đã trả lời ngày 7 tháng 6 năm 2018 lúc 3:18Jun 7, 2018 at 3:18
Wadih M.Wadih M.Wadih M. 1.1226 huy hiệu bạc20 Huy hiệu đồng6 silver badges20 bronze badges Phía máy chủNhư Wadih M. đã nói trong câu trả lời của mình, nó phần lớn phụ thuộc vào những gì người dùng tập lệnh PHP CGI đang chạy. Điều đó đang được nói, ngay cả với cấp độ người dùng www-root truy cập kẻ tấn công có thể:
Phía khách hàngNếu tôi duyệt đến một trang web bị nhiễm bệnh thì có thể xảy ra:
Đã trả lời ngày 7 tháng 6 năm 2018 lúc 4:30Jun 7, 2018 at 4:30
Chúng ta đều biết tại sao các tác nhân xấu lây nhiễm các trang web: Tăng tiền tệ, tăng xếp hạng SEO cho các chiến dịch phần mềm độc hại hoặc spam của họ và một số lý do khác được giải thích trong bài đăng của chúng tôi về các động lực của hacker. Nó đánh bại mục đích của cuộc tấn công nếu phần mềm độc hại dễ dàng và nhanh chóng bị loại bỏ. Những kẻ tấn công đã phát triển một số phương pháp để bảo vệ công việc của họ vì chúng tôi sẽ khám phá trong bài đăng này. Chúng tôi cũng sẽ xem xét cách bạn có thể loại bỏ nhiễm trùng này khỏi một trang web bị xâm phạm. Phần mềm độc hại này trông như thế nào?Trong hầu hết các trường hợp của loại nhiễm trùng này, chúng tôi sẽ tìm thấy một index.php đã sửa đổi: Ví dụ về tệp Index.php bị nhiễm bệnh tự động tự tạo lại thông qua quy trình độc hại chạy trong nềnKhông có vấn đề gì nếu trang web của bạn không chạy WordPress, những kẻ tấn công thường sẽ thay thế index.php bằng một bản sao bị nhiễm của tệp wordpress index.php. Chúng ta cũng thường thấy hàng trăm hoặc đôi khi hàng ngàn tệp .htaccess bị nhiễm nằm rải rác trong các thư mục trang web. Điều này được thiết kế để ngăn các tệp hoặc công cụ PHP tùy chỉnh chạy trên trang web hoặc để cho phép các tệp độc hại chạy trong trường hợp có một số giảm thiểu đã có. Ví dụ về tệp .htaccess bị nhiễm bệnh can thiệp vào khả năng chạy hầu hết các tập lệnh PHPTrong những trường hợp hiếm hoi, những kẻ tấn công sẽ để lại một bản sao của tệp index.php gốc trên máy chủ có tên Old-index.php hoặc 1Index.php mà chúng ta có thể đổi tên lại thành index.php. Trong hầu hết các trường hợp, các tệp bị nhiễm sẽ được thay đổi thành 444 quyền và cố gắng xóa hoặc làm sạch các tệp đó trực tiếp không thành công vì phần mềm độc hại sẽ ngay lập tức tạo một bản sao mới bị nhiễm bệnh.444 permissions and attempting to remove or clean those files directly is unsuccessful since the malware will immediately create a new infected copy. Làm sạch nhiễm trùngNhững bước đầu tiênNhư chúng ta đã thấy từ .htaccess bị nhiễm bệnh, những kẻ tấn công đã tạo một danh sách các tệp được phép chạy trên máy chủ: about.php, radio.php, v.v., ngăn chặn bất kỳ tệp PHP nào khác tải. Các tệp này thường sẽ không tồn tại trên máy chủ nhưng sẽ chạy như các quy trình độc hại. Các quy trình đang chạy liên tục trên máy chủ là những gì cho phép phần mềm độc hại tự động và ngay lập tức tái sử dụng trang web sau khi nhiễm trùng bị loại bỏ.about.php, radio.php, etc, preventing any other PHP files from loading. These files will usually not exist on the server but will run as malicious processes. The persistent, running processes on the server are what allows the malware to automatically and immediately reinfect the site once the infection is removed. Bước đầu tiên để cố gắng dừng phần mềm độc hại là tạo một tệp từ một trong những tên đó và thêm nội dung sau. Ví dụ: trong radio.phpradio.php Lưu ý: Tên tệp phải khớp với một trong những tên được liệt kê trong .htaccess vì đó là những tệp duy nhất được phép chạy trên máy chủ. Điều này sẽ đảm bảo lệnh của chúng tôi được chạy thành công. Nội dung của tệp này sẽ tìm kiếm tất cả các quy trình PHP đang chạy và cố gắng dừng các quy trình đó. Sau đó chúng ta có thể tải tệp đó trong trình duyệt. hxxps://yourwebsite[.]com/radio.php Bạn đã giành được bất kỳ nội dung nào trong trình duyệt nhưng nếu quá trình thành công, bạn sẽ có thể đổi tên hoặc xóa .htaccess và index.php mà không thấy bản sao mới bị nhiễm bệnh được tạo. Nếu bạn không thể truy cập tệp bạn đã tạo, bạn sẽ cần tiến hành các bước SSH bên dưới. Điều quan trọng cần lưu ý là một số phần mềm độc hại có thể không tạo lại các tệp bị nhiễm ngay lập tức và & NBSP; Bạn sẽ muốn tải trang web của mình một vài lần, kiểm tra các tệp được tái cấu trúc sau mỗi lần thử. Khi bạn đã xác nhận rằng các tệp sẽ không quay lại, bạn sẽ cần phải loại bỏ phần còn lại của nhiễm trùng. Sự kiên trì thông qua các tệp lõi WordPressNếu phần mềm độc hại vẫn còn có mặt, có thể bộ phận lại tồn tại ở đâu đó trong các tệp WordPress cốt lõi. Một phương thức chúng ta thường thấy là tệp In-plugin.php được sửa đổi được thiết kế để tạo lại index.php và .htaccess: Sau khi xóa nội dung đó, Index.php và .htaccess nên được mở khóa và bạn có thể tiến hành làm sạch các tệp đó cùng với phần còn lại của nhiễm trùng. Mặc dù plugin.php là một điểm tấn công phổ biến, chúng tôi đã thấy mã tương tự trên các tệp lõi khác. Một tùy chọn bạn có là thay thế tất cả các tệp trang web lõi bằng các bản sao mới và để cài đặt lại các chủ đề và plugin của bạn. Một số bộ tái cấu trúc bị xáo trộn nặng nề và được thiết kế để giữ tốt. Cũng không có gì lạ khi những kẻ tấn công tải các plugin giả lên thư mục WP-Content/Plugins sẽ không hiển thị từ WP-Admin. Tiến hành qua SSHNếu các nỗ lực trước đây để làm sạch chỉ số bị nhiễm.php hoặc .htaccess đã không thành công, bạn có thể cần phải có quyền truy cập SSH hoặc tải thiết bị đầu cuối cPanel để kiểm tra các quy trình đang chạy. Chạy lệnh hàng đầu (và nhấn phím ‘C, để mở rộng đầu ra) hoặc PS PS -AUX, và tìm kiếm bất cứ điều gì lạ ở đó. Thường thì những trường hợp này sẽ tiết lộ một cái gì đó như thế này:c’ key to expand the output) or “ps -aux” and look for anything strange there. Often these cases will reveal something like this: wp-content/uploads/2021/lock360.php Hoặc cái này: wp-includes/l.phpMột quy trình độc hại chạy trên máy chủ được thiết kế để tái cấu trúc ngay trang web sau khi các tệp được sửa đổi. Điều này có thể được nhìn thấy bằng cách chạy trên PS PS -AUX Trong trường hợp này, chúng ta có thể thấy quá trình chạy với PID 664739 và chúng ta có thể giết quá trình đó. Lệnh giết người giết người cố gắng chấm dứt quy trình được chỉ định và cờ -9 sẽ cố gắng để lực lượng thoát khỏi nó.Nếu quá trình vi phạm chịu trách nhiệm tái tạo index.php, bạn sẽ có thể đổi tên tệp mà không thấy bản sao mới ghé vào và bạn sẽ có thể tiến hành làm sạch phần còn lại của nhiễm trùng. Đối phó với phần mềm độc hại dựa trên bộ nhớTrong những trường hợp hiếm hoi, phần mềm độc hại sẽ nằm trong bộ nhớ PHP-FPM. Nếu index.php vẫn đang được tạo lại sau khi các bước trên đã được hoàn thành, hãy chạy đầu và kiểm tra sự hiện diện của PHP-FPM.top and check for the presence of php-fpm. Các quy trình PHP-FPM đang chạy trên máy chủMặc dù điều này thường sẽ không khắc phục được vấn đề, bạn có thể cố gắng xóa opcache. Tạo một tệp trong trang web Tài liệu gốc có tên opcache.php:opcache.php:
Nếu bạn chưa đăng ký Dịch vụ bảo mật trang web của chúng tôi, chúng tôi cung cấp các tùy chọn để làm sạch phần mềm độc hại và giữ cho trang web của bạn được bảo vệ. PHP có thể là phần mềm độc hại?Phần mềm độc hại PHP có hai chức năng chính: chuyển hướng khách truy cập đến một trang web đáng ngờ. Thực thi các lệnh từ kẻ tấn công. has two main functions: Redirect visitors to a suspicious website. Execute commands from attackers.
Các tệp PHP có an toàn không?PHP an toàn như bất kỳ ngôn ngữ chính nào khác.PHP an toàn như bất kỳ ngôn ngữ phía máy chủ lớn nào.Với các khung và công cụ PHP mới được giới thiệu trong vài năm qua, giờ đây việc quản lý bảo mật hàng đầu dễ dàng hơn bao giờ hết.. PHP is as secure as any major server-side language. With the new PHP frameworks and tools introduced over the last few years, it is now easier than ever to manage top-notch security.
Làm cách nào để quét PHP cho mã độc?Máy quét phần mềm chống phần mềm PHP là một công cụ miễn phí để quét các tệp PHP và phân tích dự án của bạn để tìm bất kỳ mã độc nào bên trong nó.Nó cung cấp một giao diện bảng điều khiển thiết bị đầu cuối văn bản tương tác để quét một tệp hoặc tất cả các tệp trong một thư mục nhất định và tìm các tệp mã PHP dường như chứa mã độc hại. is a free tool to scan PHP files and analyze your project to find any malicious code inside it. It provides an interactive text terminal console interface to scan a file, or all files in a given directory, and find PHP code files that seem to contain malicious code.
Tin tặc có thể thấy mã PHP không?Có, tất nhiên họ có thể - nếu máy chủ được thâm nhập thì bất kỳ tệp nào trên đó đều hiển thị.Lưu câu trả lời này.Hiển thị hoạt động trên bài viết này.Có, ai đó hoàn toàn có thể hack máy chủ, thông qua khai thác hoặc bằng cách đánh cắp mật khẩu của bạn hoặc thông qua mã lỗi mà bạn hoặc người khác đã viết hoặc một số cách khác nhau. - if the server is penetrated then any file on it is visible. Save this answer. Show activity on this post. Yes, it's entirely possible for someone to hack a server, via an exploit, or by stealing your password, or via buggy code you or others have written, or a number of different ways. |