我刚发现我的托管帐户(共享托管)中的每个网站都感染了恶意代码。
恶意代码是<脚本> <<< / HTML>标签。它重定向到俄罗斯网站。
问题在于:我的PHP文件没有被泄露。我通过FTP下载它们,它们很好。 “最后修改”日期也很好(有些文件来自2012年)。即使我上传了一个全新的PHP文件,当我通过网络访问它时,它也被感染了。但如果我通过FTP再次下载它,那很好。
就像一些.htaccess规则将恶意代码附加到我的所有PHP页面后,它们通过PHP引擎,或类似的东西(但我的.htaccess文件也很好)。
可能是什么问题?托管服务提供商是否遭到入侵,或者是我的帐户?我该怎么做才能解决这个问题?谷歌已经向我发送了恶意软件通知,支持人员也很慢。
感谢您的时间,请原谅我可怜的英语。
修改:添加< ?php exit()?>到任何PHP文件的末尾都会阻止感染,所以这似乎是一个PHP问题。
答案 0 :(得分:1)
是的,更改您的ftp密码并不会受到影响,也会查找不属于您的或部分安装的文件。我之前遇到过这样的问题,images目录中有一些我没有放在那里的脚本。我删除了它们。更改任何文件,使它们不是世界可写的。例如从666更改为644。对目录777到755执行相同操作。如果文件和目录归ftp用户所有,则较小的权限应该没问题。
然后,如果您没有访问权限,可以尝试将其清理或让您的主机执行此操作。
答案 1 :(得分:0)
我要做的第一件事就是更改FTP密码,并在用于访问FTP的计算机上运行防病毒软件。
之前我发生过类似的事情,而且通过窃取FTP用户和密码来侵入网络服务器。
关于PHP文件,以及文件的开头,是不是他们有什么奇怪的标签?
在我的情况下,文件在文件的开头就更新了,不仅PHP文件,HTML文件也受到影响。
标记后面出现的脚本标记,可以通过Javascript插入。并且不要依赖于修改日期(请查看此answer)