我们最近有一个网站被黑,其中一些 PHP 代码被注入到 index.php 文件中,看起来像这样:
eval (gzinflate(base64_decode('s127ezsS/...bA236UA1')));
该代码导致包含另一个 PHP 文件 (cnfg.php),这导致显示一些与制药相关的垃圾邮件(但仅对 googlebot 等人可见)。这看起来像是 WordPress 的 pharma hack,除了我们没有运行 WordPress。该代码已被删除,但我想防止将来发生此类事件。
我意识到这是一个相当广泛的问题,可能存在无数安全漏洞,但我想我会把它放在那里,以防过去有人遇到过这样的问题。
允许上传这些 PHP 文件的潜在安全漏洞有哪些?我能做些什么来防止这种情况在未来发生?