Сервер скомпрометирован, насколько глубоко вторжение, когда файлы PHP изменяются в папке без разрешений на запись

Я знаю, что было много подобных вопросов, но ни один из них не охватывал этот конкретный вопрос:

Я обнаружил почти все PHP-файлы на инъекциях скриптов клиентского сервера, на самом деле это был скрипт, упомянутый здесь: https://stackoverflow.com/questions/20658823/hacked-site-encrypted-code.

Теперь я знаю, что трудно определить точку входа, но есть несколько фактов, которые, я уверен, могут иметь смысл для кого-то, кто подходит лучше меня.

СИТУАЦИЯ

  • Почти все файлы PHP были заражены

  • Там была папка с некоторыми зараженными файлами, но у нее не было ЛЮБОГО разрешения для пользователя FTP, который я использую для загрузки файлов на сервер.

  • Даже файлы, которые не доступны для просмотра или индексации в Google, были заражены

  • в неиндексированной папке некоторые файлы были заражены, а некоторые нет. Те, кто не был инфицирован, скорее всего никогда и никого не вызывали

ВОПРОС

Принимая во внимание вышеупомянутые факты, вероятно, что весь сервер был взломан (apache, ...), или это скорее всего небезопасный сценарий PHP. Можно ли было даже увидеть такой сценарий, когда злоупотребляли только сценарием PHP?

Достаточно ли сейчас просто обновить скрипты PHP, удалить код вируса и надеяться, что сам сервер не взломан? (изменение учетных данных SFTP, конечно)

РЕДАКТИРОВАТЬ: КОММЕНТАРИИ О ДУБЛИКАТЕ

Как я уже говорил ранее, я ДЕЙСТВИТЕЛЬНО читал другие посты, мне НЕ нужно знать, как действовать, мне просто любопытно, какие файлы PHP изменяются внутри папки, которая НЕ доступна для записи пользователем FTP, и если это возможно с использованием скрипта PHP / MYSQL или только в том случае, если у злоумышленника был FTP-доступ или более глубокий доступ к серверу.

2 ответа

Решение

Файл PHP на сервере может содержать уязвимость, записанную в коде. Одним из таких примеров будет код, который принимает пользовательский ввод и не выполняет никакой проверки правильности ввода.

Существуют боты, которые обычно используются для поиска кода такого типа и проверки того, что он может его использовать. Затем вирус копирует себя в каждый файл PHP, который можно найти.

Для доступа к файлам не требуется аутентификация, скажем, через FTP, поскольку сам эксплойт обходит любую необходимую аутентификацию.

Единственное, что может быть разумно выведено из того факта, что файлы были изменены в каталоге, где доступ по FTP не разрешен, - это то, что они не были изменены с использованием FTP.

Это означает, что что-то еще на сервере было скомпрометировано, кроме FTP.

Что означает, что вы должны быть еще более нетерпеливыми, чтобы уничтожить его как можно скорее.

Другие вопросы по тегам