像往常一样,只想提前感谢您的所有帮助和投入。
我有一个特定的站点,我是该站点的 Web 开发人员,并且遇到了一个独特的问题。似乎有什么东西进入了我网站上的每个 PHP 文件并添加了一些恶意软件代码。我已经多次从每个页面中删除代码并更改了 FTP 和 DB 密码,但无济于事。
添加的代码如下所示 - eval(base64_decode(string)) -字符串为 3024 个字符。
不确定是否有其他人遇到过这个问题,或者是否有人对如何保护我的 php 代码有任何想法。
再次感谢。
问问题
4143 次
10 回答
2
您应该在 php.ini 或 .htaccess 中使用“disable_functions=eval,exec”作为第一个措施。
于 2010-05-18T04:55:37.803 回答
1
您还应该注意(假设您使用托管解决方案来托管您的网站)这几乎从来都不是您的错。一个例子是,networksolutions 托管公司最近有一台服务器被黑,超过 1K 的网页受到影响,这不是由于每个特定站点上的安全漏洞,而是由于对托管这些站点的特定服务器上的内容进行了一些错误的配置/监控。如果您的代码看不到任何安全方面的错误,也就是您正确地清理了所有内容,或者您正在运行您正在使用的任何 CMS 的非易受攻击版本(如果您使用 CMS),那么这可能不是您的问题网站,只是一般的服务器。
于 2010-05-22T17:45:15.070 回答
1
是的,我自己也遇到过这个问题,我认为您在共享主机上?你可能在 rackspacecloud 上吗?
这就是我遇到这个问题的地方,您需要立即做的第一件事是通知您的主机,这是一个托管问题,我怀疑恶意软件已经获得了对您服务器的 ftp 级别的访问权限。
确保你没有任何 chmod 777 世界可写,如果它需要你的应用程序可写,请将其设置为 775
希望这有帮助,祝你好运
于 2010-05-17T20:19:23.177 回答
1
您应该更改文件权限,以便只有您可以写入这些文件。0777(我相信某些主机上的默认值)只是自找麻烦。请参阅文件权限。
此外,建议不要将任何不应通过 URL 访问的文件放在 public_html 文件夹之外,例如配置文件。
于 2010-05-17T20:19:35.643 回答
1
我有一个类似的问题。但是,我的问题是我在我的网站上运行了一个 python 代码评估器。据我记得你需要使用 eval() 函数来执行 python 代码。在我的一个 php 文件中,我有一个奇怪的 eval 语句。你正在开发什么样的脚本?我的意思是它是否涉及对其他代码的评估?
于 2010-05-17T20:21:02.870 回答
0
获取文件的最后修改时间,然后转到您的访问日志(FTP、HTTP 任何打开的,如果您不知道它们在哪里询问您的主机),并找出当时谁在您的系统上闲逛。
攻击者可能已经安装了一个脚本,他们可以定期调用该脚本来重新感染您修复的任何文件。
于 2010-05-18T05:18:16.037 回答
0
您应该移动到另一台服务器。看起来攻击者可以访问服务器或正在运行一些代码作为覆盖文件的后台进程。可能可以识别并消除问题,但聪明的攻击者会隐藏额外的脚本等,以便稍后绊倒你。
于 2010-05-17T20:19:09.130 回答
0
一种可能的情况是,有人设法以某种方式获得写访问权并更改密码等有所帮助,但他留下了一个仍然可以运行的 php 文件。
看看那里是否有任何未知文件。或者删除所有该死的东西并恢复一些备份。
于 2010-05-17T21:07:23.450 回答
0
我遇到过读取 filezilla conf 文件的病毒。我向上帝发誓。起初我是:哇,然后我是:妈妈他妈的鬼鬼祟祟的 b*stards。
检查您的电脑是否有病毒。
于 2010-05-17T20:46:56.693 回答