ウェブ(PHP)ハッキング、危険コードのチェックプログラム

ウェブ(PHP)ハッキング、危険コードのチェックプログラム

サーバーハッキングを介して不正なPHPがインストールされている監視と危険性があるコードがあることを簡単に確認するために作成しました。

  1. そのコードをサーバーのアカウントに作成して上げます。
    <?
    /**
    * Name: Kilho's PHP Diagnosis
    * Author: Kilho Oh ([email protected])
    * Author URI: http://jp.kilho.net/
    */
    class TDiagnosis
    {
    public $dir;public function __construct()
    {
    $this->dir = $_SERVER['DOCUMENT_ROOT'].'/';
    }private function SeekFile($dir, &$files)
    {
    $hnd = opendir($dir);
    while (false !== ($entry = readdir($hnd)))
    {
    if(in_array($entry, array('.', '..'))) continue;if(is_dir($dir.$entry) && !in_array($entry, array('.', '..')))
    {
    $this->SeekFile($dir.$entry.'/', $files);
    }else{
    if(!in_array(substr($entry, strrpos($entry, '.')+1), array('php', 'inc', 'html', 'htm', 'php3'))) continue;$file = $dir.$entry;
    if(!in_array($file, $files)) $files[] = $file;
    }
    }
    closedir($hnd);
    }private function Diagnosis($files)
    {
    $suspicion = array();
    $loop = 0;
    do {
    $file = $files[$loop];
    $loop++;if($file == $_SERVER['SCRIPT_FILENAME']) continue;$data = file_get_contents($file);
    $data = preg_replace('//*(.*?)*//is', '', $data);
    $data = preg_replace('///*(.*)n/', '', $data);if(preg_match('/(^|s|?php3|[?])(eval|system|exec)s*(/i', $data))
    $suspicion[] = $file;
    } while ($loop < count($files));return $suspicion;
    }public function Run()
    {
    $files = array();
    $this->SeekFile($_SERVER['DOCUMENT_ROOT'].'/', $files);
    return $this->Diagnosis($files);
    }
    }/**
    * Main
    */
    $diagnosis = new TDiagnosis;$result['host'] = $_SERVER['HTTP_HOST'];
    $result['suspicion'] = $diagnosis->run();
    
    
    echo json_encode($result);
    ?>
    
  2. 下のダウンロードボタンをクリックして頂き、監視プログラムをダウンロードします。
  3. ダウンロードしたプログラムを実行させた後URL(s)に(1)で作成したURLを入力します。
  4. Diagnoseをクリックすると、以下のように思われるファイル名を教えてくれます。
  5. 普段なかったコードが生じた場合は、必ずそのファイルをチェック願います。
ダウンロード
guest
26 Comments
Inline Feedbacks
View all comments
Word
Word

良いプログラムですね。

私は最近、ランサムウェアの事件を見ながら、バックアップを頻繁にしています。 そして少し重いセキュリティプラグインも一つ設置おいたがどのように効果があるか分かりません。

Matthew
Matthew

数日前にこのプログラムを見これワードプレスのプラグイン化(optionないただインストールするだけで動作している簡単なプラグインの形)にすると、真の良いという考えをしました。

今朝鮮日報IT雑誌(正確な名前は、今思い出せないですね)で、ワードプレス文を一つ書いてもらって、その文も書いてありますが、プラグイン化していただければ、プラグインに紹介してもいいでしょガトグヨ。 (笑)

今回6週間の開発者の方々を対象に、ワードプレスのチュートリアルを進めたが、front-endを上手若い友人が一つあって、その友達とKilho様とスタートアップ一つとMVPは、難なく一抜くことだろうと思いましでした。 MVP出るファンディングは、私受け(もちろん私にも株式分割下さい)笑ふふふ

私が思うMVPはKilho様のutilityを一つpackagingて... ... 。

ああ、... 第アイデアは、もしかしたら関心あればメールでいたします。 (笑)

Matthew
Matthew
Reply to  Kilho Oh

localhostと実サーバ二個所でテストしてみた、ソースファイルを見ると、このプログラムが実行されるとkh_scan.datというファイルが生成されず、おそらくそのファイルのdataを、Windowsプログラムに送信される形だ... 。

私kh_scan.datという名前のファイルが生成されていない。

プラグインとはphpファイルの両方をテストしてみました。

第localhostと実サーバーの両方Nginxです。 エラーナヌンゲこれラング関係がいるのかは、私がback-endのほうがないのでよく分かりません。 ^^ ;;

ああ、ダウンロードページjQueryスクリプトエラー出ています。 笑

Matthew
Matthew
Reply to  Kilho Oh

あ、もしかしてNginxのためではなく、私が使用しているphpのバージョンが7.14だようなではないか... 100%根拠のない推測であるだけです。

Matthew
Matthew
Reply to  Kilho Oh

アッ? 本文で説明した内容と実際のコードの動作との違いがありますね?

また、ソースファイルを見ると、プラグインは、管理者の電子メールへのスキャン結果を送信ようになっているようです。

wp_mail(get_bloginfo('admin_email'), $title, $content);

当たるんです?

そして、電子メール、今確認してみる... 。

Kilho様プラグインがメールを正常に送信したものです。

Success !!!! ふ(笑)

動作もします。

Kilho様プラグイン紹介文も一つ書いて、朝鮮日報IT雑誌記事にもこのプラグインを言及します。

良いプラグイン開発いただい共有していただきありがとうございます。 ^^

Word
Word
Reply to  Matthew

もしかしたらIT朝鮮のマイクロソフトウェアませんか?

Matthew
Matthew
Reply to  Word

はい。 今確認してみるフィットします。

ところが、生まれて初めて聞い見るのと... IT朝鮮とところ... ふ(笑)

どんな雑誌会社の認知度も分からない... 。

何人か見ることもない雑誌なので書き込みが嫌いです。

半分書いノトギンした... 。 ふふふ

ブログ記事書くのはいいのに、このような文は真の書き込みが嫌ですね。

Word
Word
Reply to  Matthew

韓国のほぼすべての雑誌がサブスクライバの数ばかりのことを知っています。

韓国の人々が本自体をよくないします。(笑)

最近もそうなのかわからない前には、日本電車の中で、日本人が本を読むことをニュースで扱ってそうですよ。 それだけ韓国人が本を知っ読むインターネットが発達しながら本をアン読むには...

diana ak
diana ak

Warning: preg_replace(): Unknown modifier ‘*’ in /html/php.php on line 33

Warning: preg_replace(): Unknown modifier ‘/’ in /html/php.php on line 34

Warning: preg_match(): Compilation failed: nothing to repeat at offset 5 in /html/php.php on line 34

エラーカナんです。ご確認お願いいたします。

skypass
skypass

私はコンピュータ初心者なので1度にコードをサーバーのアカウントにアップロードということどのようにするか、よく分かりません。

キム・ミンス
キム・ミンス
Reply to  Kilho Oh

1度に...コードがどんなものか。ㅠㅠㅠㅠ私もよくモルゲトオソ。〓〓お願いします。ㅠメールコロラド可能だったら。 [email protected] 申し訳ありませんㅠ

sh y
sh y

ダウンロードして解凍ぷにぷに
v3でMalware / Gen.Generic.C1094687
検出した削除します。

sh y
sh y
Reply to  Kilho Oh

ああ... v3のオジンイ激しいです?
その後、何に変えますか?

sh y
sh y
Reply to  Kilho Oh

まだWindows 10オプグルを言わなかった
Windows 7が書き込み編まし
そして違うの知りたいことがありますが
Kクリーナーで強制的に終了させるプログラム任意に指定することはできないのですか?
アプリチェックというランサムウェイプログラムを使用している
また、のように終了ドゥェソヨ

sh y
sh y
Reply to  Kilho Oh

終了はされていないのですが
アプリチェックでリアルタイム保護はオフになりますね
これ仕方ないのですか?

sh y
sh y
Reply to  Kilho Oh

なるほど~~解決しましたありがとうございます~~~~