问题：

在我的网站上，有一些 PHP 文件都以此结尾：

在此行之前，文件中还有 HTML 代码。

当然，浏览器中的输出以此结束：

但是昨天，突然间，最后出现了一些恶意代码。我的 index.php 的输出是：

我在我的网站空间上打开了文件（通过 FTP 下载），我看到有人将这段代码直接放入了文件中！

这怎么可能发生？

我能想象的唯一方法：

• 有人知道了我的 FTP 密码。但他不会只把它放在一个文件中。他本可以造成更大的伤害。所以我无法想象会是这样。
• 我自己的电脑上有病毒。我使用 Notepad++ 进行编辑，使用 FileZilla 进行上传。也许这些程序也被污染了，我上传了恶意代码 - 不知道。
• 有人使用安全漏洞 (XSS) 将该代码放入页面。但他不可能把它直接放进文件里，不是吗？

症状：

用户报告在 Firefox 中弹出一个蓝色面板。它要求他们安装一个插件。现在他们中的一些人在他们的 PC 上安装了 Exploit.Java.CVE-2010-0886.a。

这是由于恶​​意代码吗？代码到底做了什么？

你能帮助我吗？

请帮帮我，我真的很绝望。

也许还有一个问题，如果你知道我怎么能得到它：我怎么能防止将来发生这样的事情？

编辑＃1：

我在我的网站空间的根目录中找到了一个名为“x76x09.php”的文件。它的文件大小为 44.281 字节。我已经下载并尝试打开它。但是我的杀毒软件说是木马（Trojan.Script.224490）。我认为该文件已被执行，并将恶意代码添加到每个目录的“index.php”中。这有帮助吗？特洛伊木马怎么会进入我的空间？这是众所周知的病毒吗？

编辑#2：

我的主持人说他现在可以确定该文件不是通过 FTP 上传的。所以感染不是通过 FTP 发生的。据我的主持人说，它一定是不安全的脚本。

编辑＃3：

根据 PHPSecInfo 的安全漏洞：

• allow_url_fopen = 1
• allow_url_include = 1
• 暴露_php = 1
• file_uploads = 1（这是恶意“x76x09.php”文件的罪魁祸首吗？）
• group_id = 99
• 用户 ID = 99

编辑#4：

我已经分析了在我的网络服务器上执行的文件。这是结果。

所以这个病毒似乎被称为：

• PHP/C99Shell.BF
• 后门/PHP.C99Shell
• BackDoor.Generic_c.CQA
• 木马.Script.224490
• Exploit.PHP.635
• 后门.PHP.C99Shell.bf
• 木马.Script.224490

其中一些会导致我的网站空间上的恶意文件添加了恶意代码吗？

我的朋友在 ovh.com 上有一个网站。几天后，该网站被谷歌标记为危险。

我查看了文件（该站点仅包含 html、css、pjg），似乎有一行新代码：

（我不记得确切的网址）已添加到一些 html 页面中。这显然是在显示页面时会运行的病毒。

如果我删除此行并再次扫描文件，这很好。

如何将其添加到服务器上的文件中？有什么办法可以防止这种事情发生吗？（考虑 .htaccess 的东西或其他）。我看不出 ftp 标识符是如何被盗的，所以对我来说，这个代码插入必须来自其他地方。

能否请你帮忙 ？

非常感谢，

卢克

他们是一样的吗？

更长的版本：

假设我在 Windows 机器上在汇编中编写了一个小应用程序，它所做的只是添加 1+1 并将其存储在寄存器中。然后，我在 Linux 机器上编写完全相同的代码。它会起作用吗？

我想是的，因为在硬件级别，它是同一台机器，所以“硬件语言”（请原谅不精确）是相同的。

所以我认为一个针对 windows 的病毒但用汇编编写的不会只是 windows 病毒。

所以我很确定我的网站已经感染了某种木马或病毒，这些木马或病毒会附着在网站内的脚本上。每次我尝试更新我的基于 Drupal 的站点时，我都会得到一个白屏，并显示这个愚蠢的“我在这里”消息。重新加载后，更改将生效，但我不知道保存更改后这是做什么的。这只会在管理站点、IE 发布新内容、激活/停用模块等时弹出。

问题是，我一点也不知道如何或去哪里删除它。源代码没有引用任何恶意代码。它不是我通过试图找到这个问题的答案而发现的 iFrame 链接类型的木马。

我尝试过的事情：

- 多次扫描计算机中的病毒（据说这些东西会攻击不安全的 FTP 数据并劫持您的客户端以上传恶意代码）

-更改了 FTP 凭据

-将管理员用户密码更改为站点后端（Drupal 登录）

-更新了 Drupal

到目前为止没有任何工作，我正在努力解决这个问题。任何正确方向的提示将不胜感激。

如何删除 TBS WMP 插件？这似乎是我的计算机上安装的恶意软件。非常感谢！

我的网站被木马脚本感染了。

有人设法创建/上传了一个名为“x76x09.php”或“config.php”的文件到我的网络空间的根目录中。它的大小为 44287 字节，其 MD5 校验和为 8dd76fc074b717fccfa30b86956992f8。我已经使用 Virustotal 分析了这个文件。这些结果表明它是“Backdoor/PHP.C99Shell”或“Trojan.Script.224490”。

该文件在创建的同时执行。所以它一定是自动发生的。该文件将以下恶意代码添加到我网站空间上每个 index.php 的末尾。

在我的页面上出现该代码后，用户报告说 Firefox 中弹出了一个蓝色面板。它要求他们安装一个插件。现在他们中的一些人在他们的 PC 上安装了 Exploit.Java.CVE-2010-0886.a。

尽管我关闭了 allow_url_fopen 和 allow_url_include，但感染确实发生了。我的托管人说该文件不是通过 FTP 上传的。

所以我的问题是：

• 恶意代码有什么作用？它是如何编码的？
• 远程文件（“x76x09.php”或“config.php”）如何进入我的网站？SQL注入？我自己的电脑上病毒？
• 将来如何保护我的网站免受此类攻击？

非常感谢您！我真的需要帮助。

这个问题类似。但它更像是一份报告。我从一开始就不知道这是病毒。所以这里这个问题是指病毒本身，另一个问题不是。

我想也许是 delphi 病毒感染了我的 .dcu，所以我重新编译了 Delphi 的 C:\Program Fiels...\source\Win32\rtl\win 中的 windows.pas。这是结果。

这是病毒总数的结果

http://www.virustotal.com/analisis/419f755ae57e6ba469f5c6e36305153dc298517edae2f48ae24af6682335260b-1281224937

我重新改造了我的电脑并重新安装了 Delphi。我正在使用德尔福 2007。

我正在编写一个基于 Java 的 Web 应用程序，它允许用户向网站上传和提交内容。不过，在它可用之前，我想执行病毒扫描以确保没有恶意内容被发布。有谁知道可以通过 Java 访问的防病毒扫描程序？该应用程序将托管在 Linux (CentOS 5.5 x64) 上并在 Tomcat 6.x 上运行。任何意见或建议将不胜感激！

有一个 InnoDB 表用于存储自定义构建的 Web 应用程序使用的博客文章的评论。

最近我注意到评论的自动递增主键值递增 2 而不是 1。

我还注意到，在另一个用于记住最后几个评论者的足迹签名（例如 ip、会话 id、uagent 字符串等）的 MySQL 表中，PHP 会话的名称以“viruskinq”开头，这很奇怪，因为我认为它应该始终是一个类似于 md5 的十六进制字符串。

谷歌只为“viruskinq”提供了几个结果，全部都是土耳其语。有趣的是，大约一年前，该网站被土耳其恶棍破坏。（我 100% 确定攻击者没有成功，因为我的应用程序中存在任何安全漏洞，因为同一公司托管的其他网站当时也遭到破坏。）

该站点位于使用 Linux 的共享主机上。

您认为服务器本身可能仍然受到那些黑客的影响吗？检查评论的 id 值显示，这种翻倍现象自今年 5 月以来就存在，但污损发生在差不多一年前。

还有什么其他原因可以解释自动增量值的奇怪行为？应用程序没有更改，并且在较早的注释中，自动递增的主键值是按顺序排列的。

编辑：解决方案摘要

托管公司告诉我，自动增量值翻倍的原因是因为他们使用主从 MySQL 架构师，据他们说这种现象是正常的。

他们还承认，各种黑客不断地攻击他们的服务器，“尤其是会话”，他们对此无能为力。

我想我最好开始收拾东西并搬到更好的网络主机上。

I'm wanting to scan files a user uploads to our websites on the server-side. I'd prefer it to be something we can run on-demand that doesn't have to be running all the time on the server. What solutions are available for Windows Server 2008 R2? Which products specifically would you recommend?