网站挂马

1月13日 · 2015年

PHP彩蛋还是漏洞?expose_php彩蛋的触发和屏蔽方法

4
最近在折腾网站 XSS 漏洞修复的时候,当我把 XSS 漏洞和谐成功之后,360 扫描送来了一个”彩蛋”: 本以为又是 360 误报,结果点击看了下,还真能打开 PHPinfo: PHP 彩蛋我也是第一次听说,貌似老一辈的程序员们都知道,因为 PHP 是由黑客语言发展而来,所以各方面都透露着放荡不羁的极客精神! 一、如何触发 PHP 彩蛋? 我们只要在运行 PHP 的服务器上,在域名后面输入下面的字符参数,就能返回一些意想不到的信息。当然有些服务器是把菜单屏蔽了的。彩蛋只有这 4 个,PHP 是开放源代码的,所以不必担心还有其他。 ?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000 (PHP 信息列表) ?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 (PHP 的 LOGO) ?=PHPE9568F35-D428-11d2-A769-00AA001ACF42 (Zend LOGO) ?=PHPE9568F36-D428-11d2-A769-00AA001ACF42 (PHP LOGO…
1月12日 · 2015年

PHP跨站脚本攻击(XSS)漏洞修复思路(二)

7
上一篇文章《PHP 跨站脚本攻击(XSS)漏洞修复方法(一)》写到了 360 修复 XSS 漏洞的插件并不完善的问题,那么这篇文章就来分享一下自己如何写代码修补这个漏洞。 从上一篇文章看出,部署了 360 出的 XSS 修复插件之后,至少还存在 iframe 无法过滤缺憾,是否还有其他纰漏目前还不得而知。 分析一下中国博客联盟和张戈博客已开放的数据入口: ①、中国博客联盟,主要有搜索、后台博客提交等; ②、张戈博客(WordPress),主要是用户评论提交; 所以,本文就已这 2 个入口为例子,来分享 XSS 漏洞修复的简单思路。 一、完全过滤 问题①,我可以找到站内搜索和博客提交这 2 个开放入口的数据处理 php,然后对数据过滤即可。 比如站内搜索,中国博客联盟取得搜索关键词是这样一行代码: $keyword = addslashes(trim($_GET['query'])); 考虑到中国博客联盟的站内搜索,只能搜索博客名称、域名、类型及描述这四种,而这四种均不需要出现 html 代码!如果有人提交搜索了 html 代码,绝非善意! 那对于这种情况,我只需要完全过滤掉…
1月11日 · 2015年

PHP跨站脚本攻击(XSS)漏洞修复方法(一)

16
今天又做了一回奥特曼(out man),居然才发现 360 的综合搜索变成了好搜!前几天,其实看到过一次好搜,但是以为又是 DNS 劫持出现的流氓搜索。 今天细看了下,居然是 360 综合搜索改头换面后的独立品牌:好搜(怎么读都有点山寨)。 一、惊现漏洞 好了,暂且不研究这名称到底咋样,顺手 site 了一下我 2 个网站:张戈博客和中国博客联盟。 结果,site 中国博客联盟的结果吓我一跳: 很久没理过 360 搜索了,一看还真吓一跳!急忙进去看了下,y 原来是 XSS 跨站攻击漏洞!之前听无主题的博主小武提到过一次,当时是 WordPress 开启颜色评论后造成的 XSS 漏洞,因为我懒得折腾就放弃了带颜色评论的功能,避免出现 XSS 漏洞。没想到,中国博客联盟居然出现这么多! 二、现身说法 什么叫 XSS 跨站攻击漏洞?专业理论性的解释我也懒得说,自己去百度。我就举个实际的例子来说明这玩意的危害好了! 就拿之前 WordPress 留言来举例好了。…
5月8日 · 2014年

张戈博客惊现WordPress恶意代码,各位WP博主要注意下了!

53
不经意看到了哼哼猪的 《博主们注意了!赶快检查下你的 WordPress 里面是否包含恶意代码》一文,就好奇的检查了一下,结果。。。尼玛居然还真中招了!难怪老是觉得 WP 的后台卡卡的,一点都不流畅!而且后台提交文章经常会出现 502 或 503 的无法打开页面!估计就是这玩意在作祟! 下面内容摘自原文: 代码太长放到下面,先说说此段代码的来源和危害: 此段代码来源一般是在 WordPress 主题里面自带,可能免费主题、破解主题或者收费主题,大家也不能完全抱怨主题作者,因为代码可能也不是他主动添加的,可能是他在调试其他主题是感染上的。 再来大概说说它的工作原理,首先它会存在某一主题里面,当你启用调试此主题时,这段代码可以通过遍历获得你主题目录下的所有主题里面的 functions.php,并在 functions.php 文件结尾处的最后一个“?>”处自动添加下面的恶意病毒代码,如果恶意病毒代码添加成功,它会发送你博客的 url 地址到[email protected](可能大家没看到这个邮箱地址的添加位置,这就是它的巧妙之处,它将 email 地址拆分转义,然后用多重变量引用,下面的代码我已经用红色标注出了此 email 地址) 危害:单单从这段代码来说,也没什么大的问题,不过因为已经感染此代码且感染网址也发给了恶意病毒代码散播者,这样你的网站可能就会有选择成为下一步攻击目标。另外如果下面的代码不完整或者你的 Mysql 有一些安全限制会导致下面代码的一些项添加不完整,导致网站打开错误,其实这也是发现问题所在的原因。 小技巧:当你制作或使用一个安全主题时,你可以在 functions.php 文件结尾处的最后一个“?>”前添加上“//所有设置已完成”,这样如果被而已添加就能很快发现!   如何清除此段恶意病毒代码呢: 清理也很简单,直接在 functions.php 文件里面找到下面的代码删除即可,但因为一旦感染会导致你…