Codeigniter 2.1.4 应用程序被黑了？答案

【问题标题】：Codeigniter 2.1.4 application got hacked?Codeigniter 2.1.4 应用程序被黑了？
【发布时间】：2013-09-11 11:27:55
【问题描述】：

今天发生了一件奇怪的事情。我创建了一个基于 CI 的网站，黑客设法：

通过将文件上传到根目录来覆盖我的 index.php 文件；
将代码直接注入到我的 index.php 中，将所有内容替换为虚拟的 html 格式页面；

我不知道上面哪些是实际发生的。

该网站非常简单（没有输入表单，没有 db ecc。），我开始使用 CodeIgniter 开发它，因为客户不知道他想要什么，所以我最终使用该框架仅用于模板和压缩。

我非常怀疑是否在 PHP 端向黑客提供了安全漏洞。我倾向于认为问题出在我的托管服务错误的服务器配置上（我与他们的聊天很糟糕，他们说他们会调查）

我很好奇只有 index.php 被（显然）修改（应用程序和系统也在根目录中，因为我没有上面的 FTP 访问权限，也许如果我是一名黑客，我会在让我的花哨索引执行华丽之前删除根目录中的任何文件）

这是怎么发生的？你认为最有可能的是什么？

【问题讨论】：

您的猜测与我们的猜测一样好，请与您的托管服务提供商联系，看起来它是访问服务器与 ci 妥协，这很可能发生在注入或其他攻击中。也许您的目录权限是777？
@Jakub 我有 755 个目录和 644 个文件。

标签： php security codeigniter-2

【解决方案1】：

不幸的是，如果没有对服务器、服务器和系统日志等的完全访问权限，没有人会给你一个直接的答案。这可能是很多事情之一，如果你在共享主机上，服务器的错误配置通常会够意思（意思是如果一个人破坏了一个站点，他就破坏了所有站点）。它可能是服务器上的过时服务，攻击者在其中使用了公开可用的漏洞。它也可能是基于 CI 的漏洞利用，私有的或公共的......

如果您确信您的网站不会被黑客入侵，则很有可能是共享托管环境和权限配置不当，从而使攻击者能够访问不属于该网站的系统命令和文件夹用户，通常会通过易受攻击的站点上传 php shell，然后从那里它就像浏览 Web 服务器的文件夹一样简单。我想说的第二个可能是它可能是在共享主机上运行的过时的可利用服务。

如果您谈论的 html 中有任何“签名”，您可能想尝试用谷歌搜索它并查看返回的内容。此外，您可能想尝试通过 PHP 执行一些系统命令（您不应该像 ls 那样访问您的 web 根目录下的级别；如果可以，攻击者很可能以这种方式访问您的文件。

【讨论】：

我在我的根目录上上传了一个 test.php，其中包含： exec('ls', $array) 并打印了数组 ( [0] => application [1] => sylesheet [2] =>图片 [3] => index.php [4] => js [5] => 系统 [6] => test.php )
好吧，一方面意味着您能够执行命令，这在共享主机上通常已经够糟糕的了，因为权限的失误意味着整个服务器都处于危险之中。正如我在上一篇文章中所说，尝试在您的 Web 根目录中使用 ls -l ../，如果您没有收到错误，我会说相当肯定这就是攻击者入侵您网站的方式。还要检查文件的所有权，如果它是通用的（比如如果你所有的文件都属于 apache 用户），你可能会遇到另一个问题，因为任何通过 php 执行命令的人都可以访问这些文件
更改为ls -l ../ 我可以看到所有服务器目录确实-_-' 所有权似乎不错
好了。您可以尝试通知您的主机，但是根据我的经验，他们甚至会拒绝承认，告诉您调整文件权限并保持原样。所以我想说，在那之后你最好的选择是将主机更改为更可靠和更安全的主机（我会给你一个建议，但老实说几年来我已经管理了自己的服务器和 VPS，所以我不能可靠地说）
谢谢！你真的帮了我很多。整个攻击体验很有帮助。它让我挖掘信息，让我睁大眼睛攻击我忽略的技术。