討論群組

小惡魔市集悅遊日本活動報導

我要回覆

golihi

10039分

樓主

個人積分：10039分

文章編號：90163916

xampp一直被植入惡意php程式

我的主機windows server安裝xampp
我很納悶
在這一直被上傳這個檔 c:\xampp\htdocs\admin.php
內容
xampp一直被植入惡意php程式

xampp一直被植入惡意php程式

在這被上傳這個檔 c:\xampp\htdocs\xxxx\rufzf.php (xxxx是任一資料夾，且檔名會變)
內容只有一行
xampp一直被植入惡意php程式

xampp一直被植入惡意php程式

我的問題
1.他是怎麼上傳的？
2.這檔是什麼作用？
3.我有什麼漏洞被上傳？以前還看到挖礦的.exe檔上傳進來
4.我該怎麼防堵？
4.Google以上都看不到相關資訊，可在哪裡可以參考這些駭客資訊？
我現在只能寫支程式每天掃描，一發現非法上傳的檔立即通知我再手動刪除
但這不是辦法啊！
這駭客這麼厲害
謝謝！

2024-08-16 14:08 #1

文章關鍵字

XAMPP PHP程式

小惡魔市集

2417分

2樓

個人積分：2417分

文章編號：90164153

PHP.net遭駭，被用來散播病毒

有新聞啊

ren1244

這個跟樓主的問題應該沒有直接關連

2024-08-16 15:37

ren1244

599分

3樓

個人積分：599分

文章編號：90164512

第一個檔案 admin.php 他是用到字串 xor 運算做混淆
翻譯過來大概是下面這樣

點我看大圖

點我看大圖

他植入這個檔案讓他自己可以透過遠端 request 執行他想要的指令
你可以先禁用 eval 函數

另外因為 eval 能做的事情太多了
所以你資料庫的密碼要改，系統最好也要重灌再上線

如果資料庫有會員的敏感資料
可能要跟老闆討論一下萬一出事的話要怎麼處理法律上的問題

lccw

470分

4樓

個人積分：470分

文章編號：90164746

我裝xampp也是被植入惡意php，後來把htdoc設為唯讀就沒遇過了，只不過要修改php比較麻煩。
最好還是把htdoc指向可以硬體防寫的隨身碟(淘寶有賣NT$300 32GB)，比較方便修改，而且硬體防寫更安全。

Dinjapc

1225分

5樓

個人積分：1225分

文章編號：90164815

找個掃描服務先去指定你的位址
看還有開什麼沒注意的port吧

然後注意一下連入服務都是那些port
都是那些國家的ip
全部檔掉

現在你可以限制兇手是台灣人了

guies

1354分

6樓

個人積分：1354分

文章編號：90165546

這不是今年6/8日發生的事嗎？
你看一下那些php的日期是不是6/8。
可手動更新 php 目錄下的檔案，
或修改 httpd-xampp.conf 把這一行給註解掉，
# ScriptAlias /php-cgi/ "C:/xampp/php/"
建議還是更新 php 目錄即可。

最早日期忘了，一直有發生，直到現在都有。已註解，再觀察，謝謝！

2024-08-20 0:14

blueled

3914分

7樓

個人積分：3914分

文章編號：90167228

xampp 是在那裡下載的?

官方下載處

在這裡 https://www.apachefriends.org/zh_tw/download.html ，應該是相同的，找個時間更新一下

2024-08-20 0:10

guies

1354分

8樓

個人積分：1354分

文章編號：90167284

blueled wrote:
xampp 是在那裡下載的?

xampp 的 php 漏洞仍未修補，
畢竟只對繁簡日韓 Windows系統有影嚮。
所以現在還要用xampp的人，
裝完的第一件事就是手動更新覆蓋php目錄下的檔案。

blueled

wamp 可以試試看。

2024-08-17 8:55

golihi

10039分

樓主

個人積分：10039分

文章編號：90224085

找到這個可能有關
PHP CGI 遠程代碼執行漏洞分析
PHP更新吧
影響範圍
PHP 8.3 < 8.3.8
PHP 8.2 < 8.2.20
PHP 8.1 < 8.1.29
其他版本的PHP官方已不在維護，建議根據實際情況升級到安全版本或者關閉php-cgi的使用。