ウェブ(PHP)ハッキング、危険コードのチェックプログラム

サーバーハッキングを介して不正なPHPがインストールされている監視と危険性があるコードがあることを簡単に確認するために作成しました。

  1. そのコードをサーバーのアカウントに作成して上げます。
    <?
    /**
    * Name: Kilho's PHP Diagnosis
    * Author: Kilho Oh ([email protected])
    * Author URI: http://kilho.net/
    */
    class TDiagnosis
    {
    public $dir;public function __construct()
    {
    $this->dir = $_SERVER['DOCUMENT_ROOT'].'/';
    }private function SeekFile($dir, &$files)
    {
    $hnd = opendir($dir);
    while (false !== ($entry = readdir($hnd)))
    {
    if(in_array($entry, array('.', '..'))) continue;if(is_dir($dir.$entry) && !in_array($entry, array('.', '..')))
    {
    $this->SeekFile($dir.$entry.'/', $files);
    }else{
    if(!in_array(substr($entry, strrpos($entry, '.')+1), array('php', 'inc', 'html', 'htm', 'php3'))) continue;$file = $dir.$entry;
    if(!in_array($file, $files)) $files[] = $file;
    }
    }
    closedir($hnd);
    }private function Diagnosis($files)
    {
    $suspicion = array();
    $loop = 0;
    do {
    $file = $files[$loop];
    $loop++;if($file == $_SERVER['SCRIPT_FILENAME']) continue;$data = file_get_contents($file);
    $data = preg_replace('//*(.*?)*//is', '', $data);
    $data = preg_replace('///*(.*)n/', '', $data);if(preg_match('/(^|s|?php3|[?])(eval|system|exec)s*(/i', $data))
    $suspicion[] = $file;
    } while ($loop < count($files));return $suspicion;
    }public function Run()
    {
    $files = array();
    $this->SeekFile($_SERVER['DOCUMENT_ROOT'].'/', $files);
    return $this->Diagnosis($files);
    }
    }/**
    * Main
    */
    $diagnosis = new TDiagnosis;$result['host'] = $_SERVER['HTTP_HOST'];
    $result['suspicion'] = $diagnosis->run();
    
    echo json_encode($result);
    ?>
    
  2. 下のダウンロードボタンをクリックして頂き、監視プログラムをダウンロードします。
  3. ダウンロードしたプログラムを実行させた後URL(s)に(1)で作成したURLを入力します。
  4. Diagnoseをクリックすると、以下のように思われるファイル名を教えてくれます。
  5. 普段なかったコードが生じた場合は、必ずそのファイルをチェック願います。

 

  ダウンロード

  • sh y

    ダウンロードして解凍ぷにぷに
    v3でMalware / Gen.Generic.C1094687
    検出した削除します。

    • Kilho Oh

      v3の誤診していますね。 あまりにも誤診がひどいワクチンと(笑)添付ファイルにDelphiのソースも含まれていたように、問題になるような部分がありません。 ありがとうございます^^

      • sh y

        ああ... v3のオジンイ激しいです?
        その後、何に変えますか?

        • Kilho Oh

          ウィンドウ10に基本的に内蔵されたWindows Defenderのみ使用することも十分です。 ^^

          • sh y

            まだWindows 10オプグルを言わなかった
            Windows 7が書き込み編まし
            そして違うの知りたいことがありますが
            Kクリーナーで強制的に終了させるプログラム任意に指定することはできないのですか?
            アプリチェックというランサムウェイプログラムを使用している
            また、のように終了ドゥェソヨ

          • Kilho Oh

            noclean.txtにアプリチェックファイル名を入力すると、終了しません。
            そして、Windows 7にもディフェンダーがインストールされています。 ^^

          • sh y

            終了はされていないのですが
            アプリチェックでリアルタイム保護はオフになりますね
            これ仕方ないのですか?

          • Kilho Oh

            リアルタイム保護に関連するプログラムも終了したと予想されます。
            終了したプロセッサの関連がないことを確認一度お願いいたします^^

          • sh y

            なるほど~~解決しましたありがとうございます~~~~

  • skypass

    私はコンピュータ初心者なので1度にコードをサーバーのアカウントにアップロードということどのようにするか、よく分かりません。

  • diana ak

    Warning: preg_replace(): Unknown modifier ‘*’ in /html/php.php on line 33

    Warning: preg_replace(): Unknown modifier ‘/’ in /html/php.php on line 34

    Warning: preg_match(): Compilation failed: nothing to repeat at offset 5 in /html/php.php on line 34

    エラーカナんです。ご確認お願いいたします。

  • 数日前にこのプログラムを見これワードプレスのプラグイン化(optionないただインストールするだけで動作している簡単なプラグインの形)にすると、真の良いという考えをしました。

    今朝鮮日報IT雑誌(正確な名前は、今思い出せないですね)で、ワードプレス文を一つ書いてもらって、その文も書いてありますが、プラグイン化していただければ、プラグインに紹介してもいいでしょガトグヨ。 (笑)

    今回6週間の開発者の方々を対象に、ワードプレスのチュートリアルを進めたが、front-endを上手若い友人が一つあって、その友達とKilho様とスタートアップ一つとMVPは、難なく一抜くことだろうと思いましでした。 MVP出るファンディングは、私受け(もちろん私にも株式分割下さい)笑ふふふ

    私が思うMVPはKilho様のutilityを一つpackagingて... ... 。

    ああ、... 第アイデアは、もしかしたら関心あればメールでいたします。 (笑)

    • コメントを見さっと見ました^^
      http://jp.kilho.net/archives/wordpress/1670

      ああ。 そして、アイデアが思いまし^^近いうちにお尋ねてみましょう????

      • localhostと実サーバ二個所でテストしてみた、ソースファイルを見ると、このプログラムが実行されるとkh_scan.datというファイルが生成されず、おそらくそのファイルのdataを、Windowsプログラムに送信される形だ... 。

        私kh_scan.datという名前のファイルが生成されていない。

        プラグインとはphpファイルの両方をテストしてみました。

        第localhostと実サーバーの両方Nginxです。 エラーナヌンゲこれラング関係がいるのかは、私がback-endのほうがないのでよく分かりません。 ^^ ;;

        ああ、ダウンロードページjQueryスクリプトエラー出ています。 笑

        • ありがとうございます^^ jQueryのエラー部分は修正しました。
          そしてkh_scan.dat生成をplugins / kh-scanフォルダに保存しようとしたが、権限の問題で失敗していただろでしたね。 (テストサーバーは、Windowsので生成がされた巨大でしたねㅠㅠ)
          生成ファイルは、/ wp-content / uploads / kh-scanに位置するようにしました。

          新たにダウンロードして見れば良いです^^

      • あ、もしかしてNginxのためではなく、私が使用しているphpのバージョンが7.14だようなではないか... 100%根拠のない推測であるだけです。

      • アッ? 本文で説明した内容と実際のコードの動作との違いがありますね?

        また、ソースファイルを見ると、プラグインは、管理者の電子メールへのスキャン結果を送信ようになっているようです。

        wp_mail(get_bloginfo('admin_email'), $title, $content);

        当たるんです?

        そして、電子メール、今確認してみる... 。

        Kilho様プラグインがメールを正常に送信したものです。

        Success !!!! ふ(笑)

        動作もします。

        Kilho様プラグイン紹介文も一つ書いて、朝鮮日報IT雑誌記事にもこのプラグインを言及します。

        良いプラグイン開発いただい共有していただきありがとうございます。 ^^

        • はい^^このプラグインは、Windowsアプリケーションを使用せずに、発見時の管理者メールで情報をお知らせします。

        • ワードプレス自体のcron機能を利用して、最終的にまとめて掲載している^^

          http://jp.kilho.net/archives/wordpress/1670

    • もしかしたらIT朝鮮のマイクロソフトウェアませんか?

      • はい。 今確認してみるフィットします。

        ところが、生まれて初めて聞い見るのと... IT朝鮮とところ... ふ(笑)

        どんな雑誌会社の認知度も分からない... 。

        何人か見ることもない雑誌なので書き込みが嫌いです。

        半分書いノトギンした... 。 ふふふ

        ブログ記事書くのはいいのに、このような文は真の書き込みが嫌ですね。

        • 韓国のほぼすべての雑誌がサブスクライバの数ばかりのことを知っています。

          韓国の人々が本自体をよくないします。(笑)

          最近もそうなのかわからない前には、日本電車の中で、日本人が本を読むことをニュースで扱ってそうですよ。 それだけ韓国人が本を知っ読むインターネットが発達しながら本をアン読むには...

  • 良いプログラムですね。

    私は最近、ランサムウェアの事件を見ながら、バックアップを頻繁にしています。 そして少し重いセキュリティプラグインも一つ設置おいたがどのように効果があるか分かりません。

arrow