-1

在我的服务器中,许多文件在文件中添加了以下行...

eval(gzinflate(base64_decode('some code')));

我已经清除了一次,它仍然会再次出现。任何人都可以帮助我阻止这种情况并且不再传播吗?

4

1 回答 1

6

你的服务器被入侵了!如果您一开始没有找到它是如何到达那里的,并堵住了那个安全漏洞,那么删除文件中的那个 php 片段也无济于事。理想情况下,您甚至希望让您的服务器离线,直到您想好下一步。不言而喻,需要更改凭据,需要通知用户更改他们的密码,并且需要对您的服务器进行一般审计(检查数据一致性等)

仅供参考:在某些情况下,您在上面写的“一些代码”可以是带有数据库管理器的完整服务器管理界面!

至于在哪里寻找漏洞的来源,可以看一下常见的嫌疑人:

  • 您的任何代码都写入文件吗?如果有,是哪一个?您是否根据用户输入计算文件名?消毒了吗?
  • 有文件上传功能吗?如果是,上传的文件是否可以直接由网络服务器提供?它们是否在可以作为 php 文件执行的目录中?注意:如果您使用的是 CMS,很可能您确实有文件上传!
  • 谁可以通过 ssh/ftp 访问您的服务器?你能检查访问日志吗?
  • 如果您使用的 CMS 有权访问管理面板、审核日志、更改所有人的凭据

现在处于你的位置很糟糕,但祝你好运。

于 2013-02-09T05:19:27.113 回答