このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

phpの禁止関数と悩み所 このメッセージに返信する
日時: 2008/10/11 18:35
名前: モーレ
URL:

実は先日ハッキングされました。
手口としては画像のアップローダから、どうやって偽装したのかphpファイルをアップロードされ、その中にはeval関数の記述が1行。
PHPでDBを改竄された、というものでした。

PHPで関数の禁止などは特に行っていなかったので、いい機会だと思い危険な関数を一部追加しました。

# vi /etc/php.ini

disable_functions = eval, system, shell_exec, suexec, passthru, phpinfo
で保存。
# service httpd restart
で適用しました。

するとこちらを参照して設定した意外なcronメールが来ました。

/etc/cron.hourly/iptables_resolve:

PHP Warning: shell_exec() has been disabled for security reasons in /etc/cron.hourly/iptables_resolve on line 11

該当の箇所を見ましたが、特にshell_execを使っているようには見えません。
PHP初心者の私はいきなり詰まりました。

現在shell_execは外して許可状態です。
一応アップロード箇所にphpファイルがあったら削除するスクリプト作って10秒毎に回してます。多分大丈夫とは思いますがちょっと嫌な感じもあります。

何かいい方法はありませんでしょうか?
ご指導の程よろしくお願いします。
記事編集 編集
Re: phpの禁止関数と悩み所 このメッセージに返信する
日時: 2008/10/11 21:38
名前: くま
URL:

Apache側の設定でPHPをSafemodeで動かしたらどうでしょう?
記事編集 編集
Re: phpの禁止関数と悩み所 このメッセージに返信する
日時: 2008/10/12 01:58
名前: stranger
URL: http://ja.528p.com/
apacheのiptablelogのところだけ evalを許可したら
外部からのアクセスを許可しない設定だと思うので
記事編集 編集
Re: phpの禁止関数と悩み所 このメッセージに返信する
日時: 2008/10/14 09:16
名前: 韮山 愁然
URL:
> どうやって偽装したのかphpファイルをアップロードされ

論点は対症療法のようですが、上記の機作を明確にしたほうがよいと思います。
記事編集 編集
Re: phpの禁止関数と悩み所 このメッセージに返信する
日時: 2008/10/29 11:35
名前: モーレ
URL:

スレ主です、ご返信が遅れて申し訳ありません。
なぜかcromメールは来なくなりました。機嫌悪かったんですかね・・

画像の偽装は分かりました。単純なもので

gif89a
<?PHP
○○○○
?>

というテキストファイルの拡張子を強引に何故かjpgに変え、アップロードしたというものでした。
ここで記述の一部にGB2312(簡体字中国語)が使われていましたので、おそらく中国人ハッカーの仕業でしょう。(ApacheのログではODNでしたけど)
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -