PHP脚本:恶意JavaScript代码在末尾。

11 浏览
0 Comments

PHP脚本:恶意JavaScript代码在末尾。

问题:

在我的网络空间上有一些以以下方式结尾的PHP文件:

在这行代码之前,文件中也有HTML代码。

当然,浏览器中的输出结果以以下方式结尾:

但是昨天,突然在末尾出现了一些恶意代码。我的index.php的输出结果是:

我在我的网络空间上打开了该文件(通过FTP下载),我发现有人将这段代码直接放到了文件中!

这是怎么发生的?

我能想到的唯一可能:

  • 有人知道了我的FTP密码。但是他不会只把它放到一个文件中,他可以造成更多的破坏。所以我无法想象这是可能的。
  • 我自己的电脑上有病毒。我使用Notepad++进行编辑,使用FileZilla进行上传。也许这些程序也被感染了,我在不知情的情况下上传了恶意代码。
  • 有人利用了一个安全漏洞(XSS)将该代码放入页面中。但他不可能直接将其放入文件中,对吧?

症状:

用户报告称在Firefox中弹出了一个蓝色面板。它要求他们安装一个插件。现在,他们中的一些人的电脑上有Exploit.Java.CVE-2010-0886.a。

这是由于恶意代码造成的吗?这段代码具体做了什么?

你能帮我吗?

请帮帮我,我真的很绝望。

也许有一个额外的问题,如果你知道我是如何遭受的:我应该如何防止类似的事情发生在将来?

编辑#1:

我在我的网络空间的根目录中找到了一个名为“x76x09.php”的文件。它的文件大小为44,281字节。我已经下载并尝试打开它。但是我的杀毒软件说它是一个特洛伊木马(Trojan.Script.224490)。我认为这个文件已经被执行并将恶意代码添加到了每个目录中的“index.php”文件中。这有帮助吗?这个特洛伊木马是怎么来到我的网络空间中的?这是一个众所周知的病毒吗?

编辑#2:

我的主机商说他现在可以确定该文件不是通过FTP上传的。所以感染不是通过FTP发生的。根据我的主机商的说法,这一定是因为存在不安全的脚本。

编辑#3:

根据PHPSecInfo的安全漏洞:

  • allow_url_fopen = 1
  • allow_url_include = 1
  • expose_php = 1
  • file_uploads = 1(这是恶意的“x76x09.php”文件的原因吗?)
  • group_id = 99
  • user_id = 99

编辑#4:

我已经分析了在我的Web服务器上执行的文件。 这是结果

所以这个病毒似乎是已知的:

  • PHP/C99Shell.BF
  • Backdoor/PHP.C99Shell
  • BackDoor.Generic_c.CQA
  • Trojan.Script.224490
  • Exploit.PHP.635
  • Backdoor.PHP.C99Shell.bf
  • Trojan.Script.224490

其中一些可能导致在我的网络空间中添加恶意代码的恶意文件吗?

0