1

我的网站托管在不同的服务器上,一次又一次地被相同的 base64 恶意软件代码入侵。当我解码 base64 代码时,我得到了 mbrowserstats.com/statH/stat.php 的链接。

请注意:我的核心 php 和 wordpress 网站被黑客入侵。他们将 base64 恶意软件代码放在以下文件中 - index.php、main.php、footer.php、wordpress 的模板文件(index.php、main.php、footer.php)、wp-admin 中的 index.php 文件、插件, 主题文件夹等

我已经尝试过以下事情,但所有网站都一次又一次地被黑客入侵。

  • 更改了所有 ftp 密码

  • 将 ftp 客户端文件 Zilla 更改为 winSCP

  • 删除所有恶意软件代码并将所有文件重新上传到服务器

  • 上传没有恶意软件代码的旧备份文件

  • 禁用 magic_quotes_gpc、register_globals,还有 exec 和 shell_exec 函数

  • 使用索引文件来防止直接文件夹访问

  • 使用 mysql_real_escape_string 函数清理数据以在 php 网站中插入查询

  • 将 WordPress 和所有插件更新到最新版本

  • 安装了恶意软件字节反恶意软件并扫描了我的计算机中的恶意软件(全面扫描)

  • 确认我的网站没有使用 timthumb.php 文件

  • 更改了文件权限(文件夹为 755,文件为 644)。现在只有图片上传文件夹有777权限。

当我检查网站的访问者详细信息时,我发现了一些 IP,例如 150.70.172.111 / 150.70.172.202,主机名:150-70-172-111.trendmicro.com,国家 - 日本。他们访问网站的时间接近于修改文件(恶意软件注入文件)的时间。

附加信息:我使用的是去年 1 年以来的趋势科技防病毒软件。我想知道主机名为“trendmicro.com”的 IP 与黑客攻击或窃取我的 ftp 密码有任何关系。

我怀疑他们正在使用 ftp 访问来插入恶意软件代码。文件修改之间的时间也非常短。他们在几秒钟内更新了所有文件。所以我认为他们正在为此使用一个程序。手动他们无法在几秒钟内编辑所有文件,因为我在同一网站的不同文件夹中有很多文件。

请帮我解决这个问题。我尝试了很多事情,但它再次发生。谢谢

4

1 回答 1

1

处理这个很棘手。发生这种情况的一种常见方式是,在共享服务器上,恶意用户可以通过关闭和备份文件系统来使用另一个帐户并将文件插入到您的上传目录(通常在共享服务器上是世界可写的)中。这不是密码被破解的问题。你可以做的事情:

  1. 使用私有/虚拟服务器——不是标准共享类型,在同一文件系统中有多个用户
  2. 保持 WordPress 更新
  3. 检查您的所有主题和插件以获取在线漏洞通知。一个重要的问题是,许多主题使用 timthumb.php 来调整图像大小,这在去年存在很大的安全漏洞。您可以继续使用它,但请确保将其替换为当前版本。

对于托管,我强烈建议您使用http://WPEngine.com之类的东西,因为您不仅可以获得私人体验,而且它们还将比标准托管公司更安全扫描。

此外,如果您的网站被黑客入侵,您必须非常小心地删除所有后门 - 我建议进行全新安装,这显然很难,因为您必须将主题放回原处,并且还可能包含后门。恶意用户将创建多个后门,以防其中一个被删除。网上有一些脚本可以扫描这些,但没有一个是完美的。进行 cleab 安装,然后在发生黑客攻击时离线备份是一个不错的选择。

于 2013-08-10T06:14:19.343 回答