Đã hỏi 4 năm, 4 tháng trước 4 years, 4 months ago
Đã xem 3k lần 3k times
Những trang web có hại gì có thể chứa mã PHP độc hại gây ra? Một ví dụ về một đoạn mã PHP có khả năng gây hại cho máy tính của bạn hoặc đánh cắp thông tin?
Tôi biết rằng hầu hết nếu không phải tất cả mã phía máy khách không thể gây ra bất kỳ tác hại nào, nhưng làm thế nào về mã phía máy chủ, nó có thể gây ra gì?
Tôi luôn tò mò về cách một trang web có thể gây hại cho máy tính của bạn ...
Đã hỏi ngày 7 tháng 6 năm 2018 lúc 0:39Jun 7, 2018 at 0:39
4
Tất cả đều thuộc về thông tin đăng nhập mà mã PHP đang chạy trên máy chủ.
Nếu quy trình apache2 chạy mã PHP đó đang chạy dưới dạng www-root, thì thiệt hại mà tập lệnh này có thể gây ra đến mức độ mà www-root có thể truy cập, điều này thường có nghĩa là tất cả thư mục /var/www/.
Để hiểu đầy đủ câu hỏi này, người ta cần hiểu Linux hoạt động như thế nào, nếu máy chủ web đang chạy theo Linux, để hiểu đầy đủ mức độ của thiệt hại có thể.
Nếu nó chạy trong Windows, thì đó sẽ là điều tương tự, chỉ có thiệt hại sẽ đến mức mà chủ sở hữu của quy trình có thể sử dụng tài nguyên của máy.
Những điều mà các loại virus PHP thường làm là:
- Sử dụng máy chủ của bạn để gửi thư rác
- Sử dụng máy chủ của bạn để lực lượng vũ phu khác
- Sử dụng tài nguyên của máy chủ của bạn để tham gia giàn khoan của riêng họ và khai thác tiền điện tử khai thác
Đó chỉ là một chút thôi. Họ có thể sử dụng khá nhiều máy chủ của bạn để chạy bất kỳ phần mềm nào.
Đã trả lời ngày 7 tháng 6 năm 2018 lúc 3:18Jun 7, 2018 at 3:18
Wadih M.Wadih M.Wadih M.
1.1226 huy hiệu bạc20 Huy hiệu đồng6 silver badges20 bronze badges
Phía máy chủ
Như Wadih M. đã nói trong câu trả lời của mình, nó phần lớn phụ thuộc vào những gì người dùng tập lệnh PHP CGI đang chạy. Điều đó đang được nói, ngay cả với cấp độ người dùng www-root truy cập kẻ tấn công có thể:
- Sinh ra các quy trình khác trên hộp của bạn [email zombie hoặc một phần của cuộc tấn công DDoS]
- Trích xuất toàn bộ cơ sở dữ liệu của bạn có thể chứa thông tin đăng nhập tài khoản người dùng của bạn
- Chạy quét / khai thác cổng chống lại localhost [có thể có các hạn chế tường lửa ít hơn]
- Sửa đổi các phần khác trên trang web của bạn để bao gồm phần mềm độc hại sẽ lây nhiễm cho máy tính của người dùng của bạn
- Làm hỏng toàn bộ máy chủ của bạn w/ a forkbomb
Phía khách hàng
Nếu tôi duyệt đến một trang web bị nhiễm bệnh thì có thể xảy ra:
- HTML/tập lệnh phía máy khách có thể được sửa đổi theo cách mà mật khẩu hoặc thông tin thẻ tín dụng rõ ràng của tôi có thể bị chặn
- Các tập lệnh phía máy khách có thể được sử dụng để quét quét mạng cục bộ của tôi
- Các tập lệnh phía máy khách có thể được sử dụng để giả mạo kịch bản trang web thông minh & tên miền phụ để tấn công bộ định tuyến mạng cục bộ của tôi hoặc các thiết bị IoT khác.
- Các tập lệnh phía máy khách có thể đầu độc cookie của tôi và/hoặc lưu trữ cục bộ theo cách mà một khi máy chủ đã được sửa ... mã độc sẽ ảnh hưởng đến máy khách
- Các tập lệnh phía máy khách có thể khai thác trình duyệt hoặc người dùng tải xuống / thực hiện phần mềm độc hại
Đã trả lời ngày 7 tháng 6 năm 2018 lúc 4:30Jun 7, 2018 at 4:30
Chúng ta đều biết tại sao các tác nhân xấu lây nhiễm các trang web: Tăng tiền tệ, tăng xếp hạng SEO cho các chiến dịch phần mềm độc hại hoặc spam của họ và một số lý do khác được giải thích trong bài đăng của chúng tôi về các động lực của hacker.
Nó đánh bại mục đích của cuộc tấn công nếu phần mềm độc hại dễ dàng và nhanh chóng bị loại bỏ. Những kẻ tấn công đã phát triển một số phương pháp để bảo vệ công việc của họ vì chúng tôi sẽ khám phá trong bài đăng này. Chúng tôi cũng sẽ xem xét cách bạn có thể loại bỏ nhiễm trùng này khỏi một trang web bị xâm phạm.
Phần mềm độc hại này trông như thế nào?
Trong hầu hết các trường hợp của loại nhiễm trùng này, chúng tôi sẽ tìm thấy một index.php đã sửa đổi:
Không có vấn đề gì nếu trang web của bạn không chạy WordPress, những kẻ tấn công thường sẽ thay thế index.php bằng một bản sao bị nhiễm của tệp wordpress index.php.
Chúng ta cũng thường thấy hàng trăm hoặc đôi khi hàng ngàn tệp .htaccess bị nhiễm nằm rải rác trong các thư mục trang web. Điều này được thiết kế để ngăn các tệp hoặc công cụ PHP tùy chỉnh chạy trên trang web hoặc để cho phép các tệp độc hại chạy trong trường hợp có một số giảm thiểu đã có.
Trong những trường hợp hiếm hoi, những kẻ tấn công sẽ để lại một bản sao của tệp index.php gốc trên máy chủ có tên Old-index.php hoặc 1Index.php mà chúng ta có thể đổi tên lại thành index.php. Trong hầu hết các trường hợp, các tệp bị nhiễm sẽ được thay đổi thành 444 quyền và cố gắng xóa hoặc làm sạch các tệp đó trực tiếp không thành công vì phần mềm độc hại sẽ ngay lập tức tạo một bản sao mới bị nhiễm bệnh.444 permissions and attempting to remove or clean those files directly is unsuccessful since the malware will immediately create a new infected copy.
Làm sạch nhiễm trùng
Những bước đầu tiên
Như chúng ta đã thấy từ .htaccess bị nhiễm bệnh, những kẻ tấn công đã tạo một danh sách các tệp được phép chạy trên máy chủ: about.php, radio.php, v.v., ngăn chặn bất kỳ tệp PHP nào khác tải. Các tệp này thường sẽ không tồn tại trên máy chủ nhưng sẽ chạy như các quy trình độc hại. Các quy trình đang chạy liên tục trên máy chủ là những gì cho phép phần mềm độc hại tự động và ngay lập tức tái sử dụng trang web sau khi nhiễm trùng bị loại bỏ.about.php, radio.php, etc, preventing any other PHP files from loading. These files will usually not exist on the server but will run as malicious processes. The persistent, running processes on the server are what allows the malware to automatically and immediately reinfect the site once the infection is removed.
Bước đầu tiên để cố gắng dừng phần mềm độc hại là tạo một tệp từ một trong những tên đó và thêm nội dung sau. Ví dụ: trong radio.phpradio.php