bootstrap(index.php)“viagra”hack

时间:2009-12-14 00:58:09

标签: php security

我们服务的大多数网站都已关闭,解析了index.php文件中的错误。查看该文件,我们之前版本的文件前缀为:

<?php @register_shutdown_function("__sfd1260709780__");function __sfd1260709780__() { global $__sdv1260709780__; if (!empty($__sdv1260709780__)) return; $__sdv1260709780__=1; echo <<<DOC__DOC

<!-- [7a61f37a57877a02feb836559e68fd46 --><!-- 0879070621 --><a href="javascript:document.getElementById('block25').style.display='block';" title="more"> </a><div id="block25" style="display:none"><ul><li><a href="http://florijani.com/verzija15beta/?qsa=5">took 100mg intagra</a></li><li><a href="http://florijani.com/verzija15beta/?qsa=49">where can you buy silagra cheap</a></li><li><a href="http://florijani.com/verzija15beta/?qsa=25">where can i get real generic viagra</a></li><li><a href="http://florijani.com/verzija15beta/?qsa=27">silagra suppliers in india</a></li><li><a href="http://florijani.com/verzija15beta/?qsa=9">silagra online sales</a></li><li><a href="http://florijani.com/verzija15beta/?qsa=45">cheap uk vigora</a></li><li><a href="http://florijani.com/verzija15beta/?qsa=40">discount generic intagra online</a></li><li><a href="http://florijani.com/verzija15beta/?qsa=19">discount viagra 10 pack generic</a></li><li><a href="http://florijani.com/verzija15beta/?qsa=43">how to buy viagra online</a></li><li><a href="http://florijani.com/verzija15beta/?qsa=34">generic vigora overnight</a></li><li><a href="http://florijani.com/verzija15beta/?qsa=24">generic viagra information</a></li><li><a href="http://florijani.com/verzija15beta/?qsa=22">generic viagra perception</a></li></ul></div><!-- 7a61f37a57877a02feb836559e68fd46] -->

DOC__DOC;

} ?>

<?php @register_shutdown_function("__sfd1260623256__");function __sfd1260623256__() { global $__sdv1260623256__; if (!empty($__sdv1260623256__)) return; $__sdv1260623256__=1; echo <<<DOC__DOC



DOC__DOC;

} ?>

<?php @register_shutdown_function("__sfd1260513491__");function __sfd1260513491__() { global $__sdv1260513491__; if (!empty($__sdv1260513491__)) return; $__sdv1260513491__=1; echo <<<DOC__DOC



DOC__DOC;

} ?>

并附上,

<?php error_reporting(0); echo "\n"; @__sfd1260513491__(); ?>

<?php error_reporting(0); echo "\n"; @__sfd1260623256__(); ?>

<?php error_reporting(0); echo "\n"; @__sfd1260709780__(); ?>

你们有没有遇到过这个?

(我也在脚本中看到了很多关于伟哥剂量的建议。)

2 个答案:

答案 0 :(得分:7)

看起来有人对您的PHP文件夹具有root访问权限。他们使用机器人遍历它,取代现有内容以取消PHP服务功能,并将其替换为用于伟哥添加的回声HTML页面。

可能希望查找之前未见过的用户帐户,并从源代码恢复脚本。查找不经常使用的管理员帐户,可能仍有默认密码。

否则,机器人最有可能在内部网络上访问根文件夹。

答案 1 :(得分:2)

如果可能,请为您的服务器设置一些安全基础结构。

  • 阻止列入黑名单的IP,并检查您的网络服务器/邮件/ ssh日志是否存在恶意操作。
  • 设置版本控制,以便能够回滚黑客
  • 更改密码并可能使用更强的密码
  • 以root身份停用ssh登录
  • ...

一些相关链接:

相关问题
最新问题