我在服务器上发现了一个未经授权的文件,将其下载到我的电脑后,我的杀毒软件将其识别为病毒Backdoor:PHP/C99shell.I
有人可以指导我如何追踪黑客并保护我的服务器吗?
谢谢。
答案1
C99 是一个著名的 PHP shell,它为您提供文件访问权限、执行系统命令的界面、尝试获取服务器 root 权限的自动漏洞、mysql 浏览器等。它对您的计算机无害 - 它只会影响 Web 服务器。
至于如何进入,有很多种方式可能会让您受到攻击。最常见的是 RFI/LFI,但也可以通过 SQL 注入、站点上的管理员帐户(取决于软件)或泄露的 FTP 详细信息来获取 shell。
至于下一步该做什么 - 假设您网站上的所有内容都已被泄露。这意味着更改 cPanel、SQL、FTP 的密码。完全清理网站几乎是不可能的,尤其是在没有代码专业知识和非常高水平的编程技能的情况下。
老实说,最好的办法是从网站上删除所有内容,然后从已知良好的备份中恢复。如果您使用的是标准 php 软件,请上传新版本,然后从那里开始工作。您可能还希望联系您的网站托管商,看看他们是否可以帮助您进行日志或备份。确保您的软件在网站上也是完全最新的。
答案2
- 删除所有文件中的所有不需要的代码
- 更改您的 FTP 密码
- 检查您的计算机是否存在恶意软件
您的计算机上可能有病毒,它会在您上传文件时添加恶意代码。
答案3
如果是我,我会首先查看正在提供的文件。如果有人对您的 Web 文件具有写权限,那么他们都会成为可疑对象——现有的任何一个 PHP 脚本都可能被修改以包含另一个后门。您可以查看文件的修改时间,看看最近是否有任何文件被修改过,但即使这些文件也不是 100% 可信的。攻击者通常会执行压缩字符串,这会使事情变得有些混乱。因此,我喜欢在 PHP 脚本中搜索任何“exec”函数。这实际上是一个您可以禁用的功能。
在检查完文件后,我会确保我构建的新环境(因为我不再信任被植入后门的环境)不易受到此类攻击。首先,我会限制 Web 服务器上的写入权限,以便运行服务的用户无法创建文件。将他们必须写入的目录挂载为 noexec,等等。还有其他选项,具体取决于您的操作系统。
如果您想追踪后门的来源,您可以查看您的网络日志以查找对后门脚本的第一次引用,然后获取访问它的 IP 并查看他们访问了您的服务器上的其他内容。