Php silence is golden что это

Обновлено: 17.05.2024

One of my websites got hacked or infected (unsure what it actually is) last week. After I experienced some strange admin panel behavior I had a feeling that every directory's index.php file was affected (as those are the files hackers usually sort of 'deface' in Wordpress and alas, it was!

Every index.php in my wordpress directories contained the following line of code (and nothing else - everything else had been wiped):

Here are the steps I've taken in an attempt to fix it:

* deactivated all my plugins
* uninstalled a theme I recently installed (and completely removed it)
* Backed up my database tables (.sql file)
* backed up my plugins and images folders
* Wiped everything off the server
* Re-installed wordpress & uploaded backups
* Imported sql database tables

Silence is golden. - отличное проявление чувства юмора.

kudarchik:
Вот содержание index_backup.php:
А вот содержание index.php в каталогах
Silence is golden. - отличное проявление чувства юмора.

index.php оставляй, где его нет добавь. Он нужен для того чтобы листинги каталогов не показывались. Это стандартные файлы с таким содержанием:

// Silence is golden.

Если не ошибаюсь, .htaccess делает редиректы всего что прописано в REFERER и USER_AGENT на index_backup.php. Ты хотябы в порядок привел код из index_backup.php, разве он в таком состояний?

Кот в сапогах:
index.php оставляй, где его нет добавь. Он нужен для того чтобы листинги каталогов не показывались. Это стандартные файлы с таким содержанием:

Какой еще порядок? Этого файла вообще не должно существовать нигде. Не было его никогда.

и файлов .htaccess тоже никогда не было!

kudarchik:
Какой еще порядок? Этого файла вообще не должно существовать нигде. Не было его никогда.

Не тупи. Яспросил index_backup.php в таком неудобочитаемом виде как ты его сюда скопировал?

Уже не важно т.к. разобрался

index_backup.php это левый файл и .htaccess который ссылается на него тоже левый

index.php с содержанием:

Это понятно, как найти откуда начало берут эти файлы

kudarchik:
как найти откуда начало берут эти файлы

Почитать топик. Уже дали ссылку на ПО, которое ищет вирусы и шеллы.

ребят, херней не майтесь (это к тому что плагины бруты и т д) на этот сайт я смог бы шелл залить за минуту

Уязвимый файл timthumb.php

Если он содержит код

function checkExternal ($src) <

шелл льется за несколько секунд)))

И сколькоб не восстанавливал сайт из бекапов- пока не закроеш дыру- подлые хакеры на твоем сайте будут чувствовать себя как дома)))

Silence is golden

Заметка канула в лету. Речь там шла о полезности индексных файлов index.php со строкой //Silence is golden внутри по образцу вордпресса, ну и какая-то мелочь про self-hosted CDN.

Впрочем, интернет всё помнит. Вот тот пост:

Казалось бы, что может быть естественнее, как скрыть от доступа из веба содержимое папок веб-сайта.

Надо иметь в виду, что если листинг директорий не выключен, злоумышленник с удовольствием ознакомится с содержимым папок вашей темы и плагинов, а также кэша.

Начиная с версии, кажется, WordPress 2.7 в служебных папках (не во всех) помещается файл-заглушка index.php с содержимым:

Можно даже поместить в такие папки пустые файлы index.php или index.html . Это защитит директории от демонстрации внутренностей.

Еще лучше в случае Apache поместить в корневой файл .htaccess директиву Options -Indexes . В Nginx листинг директорий по умолчанию выключен, заведует этим директива autoindex on/off; в соответствующем location .

PHP Files And Website Directories

PHP is an immensely popular programming language. WordPress sites, themes, and plugins are built using PHP. If you want, you can think of the entire WordPress Content Management System (CMS) as an elaborate CMS framework. While web developers work directly with PHP files on a daily basis, many WordPress users only need to open PHP files when trying to solve a problem.

Silence is Golden: Unraveling a Mysterious WordPress Comment

//Silence is golden.

Что это за вирус, и чего теперь бояться?

Первые две строки - это понятно. А вот последняя была аж на строке 140. И не понятно, что оно делает и куда оно могло пролезть.
Вредоносный код удалил, файл заменил на нормальный. Но чего теперь опасаться? Куда эта штука могла залезть и что там могла наделать?

Антивирусник хоста его обозвал как:
SL-PHP-EVAL_REQUEST-awgh.UNOFFICIAL FOUND

Опасаться того, что где-нибудь в другом файле лежит еще один бэкдор.

Залезть могла в любой файл, в твоей рабочей директории, туда куда можно дотянуться из скрипта и где есть права на запись.

Самый лучший способ почистить, это выкачать к себе свежую версию WP и перенести только базу, а лучше только посты WP из базы. Снести все под ноль, и перезалить свежую версию сайта. Это не всегда применимо, но дает самые лучшие результаты. В противном случае, нужно поверху накатить свежю версию файлов WP и поискать другие зараженные файлы с помощью поиска по файлам и маскам из зараженного скрипта, например "sha1(md5(" или "base64_decode($q"

Хост все сам проверил (FTP), больше подобных файлов нет.
Был еще тот, который обозвали: SL-BIN-TROJAN-GENERIC-md5-bta.UNOFFICIAL FOUND, но он был на совсем другом сайте, причем вообще в плагине, и вряд ли это был его "хвост".
Вопрос в том, куда эта ерунда могла еще залезть, и что она там могла наделать. Чего в будущем бояться?

А есть вообще "антивирусник" для вот этого вот всего? Ну что бы хотя бы выкачать файлы и проверить все у себя. Потому как заливка файла на тот же VirusTotal, например, показала что файл чист.

Антивирусники особо не помогут, только для вирусов с устойчивой сигнатурой. А тут возможностей ее поменять безграничное кол-во.

Залезть могла в любой файл, любой директории доступный для записи. Проверить это можно написав скрипт с перебором всех папок/файлов и проверкой на запись, по типу

В будущем, если не дочистил, то стоит бояться всего, что связано с использованием чужих скриптов на своем сервере: майнинг, ботнеты, рассылка спама, клоакинг на твоих сайтах и т.д.

Ну, и обрати еще внимание, если у тебя shared хостинг, то вирус может и от соседа лезть, если у тебя стоят где-нибудь права 777 или не очень квалифицированные админы хостинга.

ЧТо касается защиты, то тут просто есть ряд мер, которые можно применить, чтобы уменьшить кол-во таких проблем: например, выставить права на файлы, которые не позволяют менять файлы, запретить eval в php, закрыть через .htaccess endpoint-ы через которые лезут боты, использовать сторонние скрипты, которые хранят хеш файлов и сигнализируют при их изменениях и т.д.

Examining the File

//Silence is golden.

The first line represents the starting point of a PHP file. All PHP files will contain a <?php somewhere inside the file— usually near the beginning. The second line is a comment. Computers always ignore comments; programmers add comments to help people reading these files understand them. PHP comments are created using two slashes at the beginning of the line: // .

Читайте также: