Неизвестный код на веб-страницах

Я нахожу неизвестный код на наших живых веб-страницах. Мы также заметили, что несколько веб-сайтов, размещенных на нашем общем веб-хостинге, загадочным образом удаляются.

Найденный нами неизвестный код отображается ниже в формате изображения. Пожалуйста, сообщите нам, что это за код и как мы можем избежать добавления этого кода на наши веб-страницы. введите описание изображения здесь


security virus virus-scanning trojan
person Vikram    schedule 03.03.2011    source источник
comment
Ваш сайт был взломан из-за уязвимости в коде. Снимите его сейчас , перестройте из заведомо чистой резервной копии (они у вас есть, верно?), найдите дыру в безопасности, которая была причиной, исправьте ее; обновление до последних версий соответствующего программного обеспечения. (просто удаление хака не поможет, компьютер теперь скомпрометирован и должен рассматриваться как таковой)   -  person Piskvor left the building    schedule 03.03.2011

Ответы (3)


arrow_upward
0
arrow_downward

Да, это похоже на бэкдор, идентичный этому. Я думаю, что это интересный пост, в нем рассказывается о процессе его расшифровки и немного о том, как очистить вашу систему.

person rook    schedule 03.03.2011
comment
Какое постоянное решение этой проблемы? Каждые несколько дней мы сталкиваемся с подобным кодом на некоторых сайтах, размещенных на общем сервере. - person Vikram; 04.03.2011
comment
@Swiftguy никогда не может быть постоянного решения, программное обеспечение всегда будет уязвимо для атак. Вы просто должны держать свое дерьмо в курсе. Если ваш код был взломан, изучите основы написания безопасного кода. - person rook; 04.03.2011
comment
Все дело в разрешениях! Смотрите мой подробный ответ. - person SwiftArchitect; 09.02.2014

arrow_upward
0
arrow_downward

Посмотрите, поможет ли это вам: http://forum.joomla.org/viewtopic.php? р=2360137

person Josh M.    schedule 03.03.2011

arrow_upward
0
arrow_downward

Вероятно, у вас есть такой же или похожий код/троян/вирус, продублированный в другом месте на вашем сервере, даже за пределами вашей учетной записи пользователя. Смотрите совет №3 ниже.

Это подозрительно похоже на RAT, так как он выполняет декодированный base64_decode, вызывая eval(base64_decode( "whole_bunch_of_obfuscated_stuff")); Поскольку вы не поместили туда этот файл, немедленно заархивируйте его!

Дальнейший совет:

  1. Обратите внимание на дату/время создания этого вируса; это поможет вам определить, когда и как вы заразились.
  2. Заархивируйте файл, а не удаляйте его, снимите с сервера и отправьте по адресу [email protected] для анализа RAT.
  3. Найдите другие RAT в вашей системе: выполните [~] grep -r "base64_decode" . как можно выше по дереву каталогов. Смотрите статью, упомянутую ниже для более подробной информации.
  4. Свяжитесь с вашим провайдером. При определенных условиях такой инструмент удаленного управления может пересекать учетные записи пользователей.

Статья, посвященная RAT и серверному заражению RAT, находится на сайте thegothicparty.com.

Вы можете прочитать это здесь: http://thegothicparty.com/dev/article/server-side-virus-rat/

person SwiftArchitect    schedule 31.10.2011