我在 GoDaddy 上使用共享托管计划(我知道,我知道),其中的所有文件都已被黑客入侵。计划中有多个站点,每个站点都有一个文件夹。每个站点的文件夹和子文件夹都充满了被黑的文件,public_html 上面的文件夹也是如此。
我已经删除了大量带有恶意代码的文件,我觉得我已经删除了所有内容,除了有一个xm1rpc.php文件在我删除后 10 秒再次出现。.htaccess,configuration.php和index.php, 都在其中一个站点的根目录中,似乎也很快被感染了。
他们是如何做到这一点的?我在控制面板中搜索了 crons,更改了密码(FTP、管理员等),接下来我应该检查什么?如您所知,这些网站是 Joomla 和 WordPress。
您可能在数据库中有一些作为内联 HTML 或 Javascript 的后门。
如果您确定已从文件中删除所有内容,请查看数据库。
此外,请确保您将两个 CMS 升级到最新版本并禁用/删除两者中所有未使用的模块,这样它们就不会以同样的方式再次攻击您。
如果有人真的在轰炸你,还要查看 WWW 服务器访问和错误日志。
如何将文件一遍又一遍地添加到我的站点?
利用系统/程序上的“权限提升漏洞”
具有低权限帐户的用户可以通过利用权限提升漏洞获得root权限,恶意用户(具有root访问权限)将通过添加,删除文件来完全控制数据库......
示例:在 LAMP (Linux-Apache-MySQL-PHP) 01.11.2016 CVE-2016-6664 (MySQL 和 MariaDB)上发现的新漏洞
描述
包括 MySQL、MariaDB 和 PerconaDB 在内的基于 MySQL 的数据库都受到权限提升漏洞的影响,该漏洞可以让已经获得 mysql 系统用户访问权限的攻击者进一步将他们的权限提升到 root 用户,从而完全破坏系统。该漏洞源于错误日志和其他文件的不安全文件处理。
首先,检查您网站的访问日志,以向自己证明您没有通过使您被感染的相同攻击媒介再次感染。如果您没有看到每 10 秒发出一次请求,那么现在就足够了。
你说没有可疑的 cronjobs。你是怎么检查这个的?您确定 cronjobs 都显示在您提到的控制面板上,即使它们不是通过控制面板创建的吗?
如果确实没有任何 cron 作业,则再次感染的下一个可能原因是仍在服务器上运行并保持休眠十秒钟的恶意进程,然后检查文件是否存在,如果不存在则重新创建它们还有更多。
如果发生了这种情况,那么您也很可能在服务器上的某个地方仍然有恶意文件的副本(或者是从远程源下载它们)。不要忘记检查 /tmp 目录是否有隐藏的子目录。/tmp 很可能是恶意软件驻留的地方,因为它通常是世界可写的。
一些恶意软件在 unix 系统上使用了一个巧妙的技巧来隐藏它们的文件:正在运行的进程打开文件然后取消它们的链接,这使得它们对 ls 和 find 等命令不可见,但因为它们是打开的,它们仍然存在(直到保持它们打开的过程终止)。好消息是,由于它们是开放的,它们将显示在 /proc 下。
你需要找到这个进程并杀死它。我对 GoDaddy 一无所知,你有 shell 访问权限吗?如果是这样,您可以使用 ps 命令列出以您的用户名运行的活动进程。
但是,除非您找到感染媒介,否则这一切都毫无意义。首先检查您的访问日志中是否存在包含随机字符串的超长 URL。如果您知道如何使用 grep 和正则表达式,这将相当容易。如果你发现一些可疑的东西,谷歌网址;这可能会为您提供使初始违规成为可能的安全漏洞的描述,以及您需要了解的内容以保护您的系统。
仅凭您提供的信息很难回答。
有些朋友说你的问题可能是 SQL 数据库漏洞,但我不这么认为(我仍然可能是错的)。就好像情况一样,不需要进一步的文件注入来访问您的系统。
有人试图利用您页面中的任何当前漏洞来获取访问权限是非常正确的。
所以,我最多只能说:
你能做的最好的事情是:
祝你好运!