[請益] PHP 被植入惡意 code
大家好,其實不太確定該發在哪邊比較妥當...
不過因為都只有 .php 的檔案被植入 code ,
用的是 apache 所以想說是不是哪邊有漏洞
今天下午赫然發現某 Server 上的絕大多數 php 檔案
都被植入一行程式碼:
eval(base64_decode("XXXXXXXX"));
裡面的 Code 我把它 base 64 decode 後是判斷
Client 的瀏覽器和來源,只要是從搜尋網站進入的 (google,yahoo,bing... 等)
話,都 header("location: xxxx") 到某個網站。
Server 狀況是:
Windows Server 2003
AppServ 架站包 (php,mysql,apache,phpMyadmin)
FileZilla Server
防火牆設定是 80 port , 21 port 和區域網路中
特定三個 IP 的所有連線 allow,其餘都 deny
FTP 只有一個帳號,該帳號底下只能 access 一個 WebRoot 底下的目錄
但調查後發現,所有在 apache WebRoot (我這邊是 D:\www\ )底下 90%
的 .php 檔案都被插入了那段 code.
想請問一下各位,不知道有沒有遇過這個問題,比較好奇的是,這種情況底下
是經由甚麼管道來 inject 這些 code 的 @@
謝謝。
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 122.121.193.160
推
01/30 19:07, , 1F
01/30 19:07, 1F
→
01/30 19:08, , 2F
01/30 19:08, 2F
→
01/30 21:08, , 3F
01/30 21:08, 3F
→
01/31 02:45, , 4F
01/31 02:45, 4F
→
01/31 02:45, , 5F
01/31 02:45, 5F
→
01/31 02:46, , 6F
01/31 02:46, 6F
→
01/31 02:47, , 7F
01/31 02:47, 7F
→
01/31 02:47, , 8F
01/31 02:47, 8F
→
01/31 02:50, , 9F
01/31 02:50, 9F
→
01/31 04:18, , 10F
01/31 04:18, 10F
推
01/31 08:44, , 11F
01/31 08:44, 11F
→
01/31 08:45, , 12F
01/31 08:45, 12F
推
01/31 12:45, , 13F
01/31 12:45, 13F
→
01/31 15:25, , 14F
01/31 15:25, 14F
推
02/01 16:01, , 15F
02/01 16:01, 15F
推
02/02 20:02, , 16F
02/02 20:02, 16F
推
02/02 20:03, , 17F
02/02 20:03, 17F