我的客户端报告说,看起来像这样的代码已自动添加到所有PHP文件的末尾(就在关闭正文标记之前):
<b1><!--J5qN2aS2eNoNycENgCAMAMCNqEoUnYZA04DRUgI1rC+f+xxwUdDQEuliwe5u3U+wzm3HBWMMkxpR0Qnmr2E2KAyDIqAUnQGM3H0NiXwUed67q6m5/t4jHpA=--></b1>
他试图手动删除该行,但当然会重新出现。谷歌回归很少:
任何人都可以帮助我们指出正确的方向吗?有什么需要寻找的吗?
答案 0 :(得分:1)
看起来像加密的64位编码字符串。
J5qN2aS2eNoNycENgCAMAMCNqEoUnYZA04DRUgI1rC+f+xxwUdDQEuliwe5u3U+wzm3HBWMMkxpR0Qnmr2E2KAyDIqAUnQGM3H0NiXwUed67q6m5/t4jHpA=
解码似乎没有提供任何有用的信息。 我认为主机已遭到入侵。
我的一个客户在他的一个网站上遇到了类似的问题:结果是有一个没有正确文件验证的上传表单,上传了一个Perl脚本并通过Web服务器执行,并且攻击者几乎是root通过创建一个守护来访问服务器。
答案 1 :(得分:0)
更改FTP密码。也许它是由一些木马从总指挥官或其他FTP客户端偷走的。
在结束标记之前的代码中添加了一堆iframe的类似问题。密码更改是唯一有帮助的。