当我今天回家时,我发现Godaddy linux主机上的所有PHP文件都被感染了。在所有文件的开头插入了以下代码:
/**/ eval(base64_decode("aWYoZnVuY3....")
根据日志,受感染的代码无法运行:
eval()'代码行1:gzinflate()[function.gzinflate]:数据错误
尽管如此,我想防止这种情况再次发生,但我不知道它们是如何排在第一位的。我有一个FTP访问(没有SFTP),所以理论上他们能够嗅出密码,但可能有一个更简单的解释。
他们也可能在Godaddy的设置中利用不安全感,但在这种情况下,我无法做任何事情来阻止它。
我的PHP代码或配置中是否存在典型错误,这样就可以破解这样的php文件?
答案 0 :(得分:1)
我的PHP代码或配置中是否存在典型错误,这样就可以破解这样的php文件?
可能会有一些问题。但最有可能的是,您的FTP登录名/密码被窃取:清理您的PC,使用sFTP并更改密码以确保安全。
答案 1 :(得分:1)
我的PHP代码或配置中是否存在典型错误,这样就可以破解这样的php文件?
是的,它可能是 - 但是如果不检查最初部署的每一行代码,就很难说清楚。请注意,为了重新编写代码,除了查找后门之外,文件必须已由正在运行的进程的uid写入。如果后门是您的代码中的漏洞,那么根据定义,GoDaddy的设置有一些问题,允许Web服务器uid对您的文件具有写入权限。
但祝他们好好解决它。
当然,攻击者可能通过不同的路线进入。
下进行。
答案 2 :(得分:0)
您的网站遭到攻击数千台服务器的自动代理(自动黑客或蠕虫)的攻击。这是由开发人员引入的代码库中的漏洞引起的。尽管流行的观点,这是不太可能这是SQL注入,因为很难使用像这样的mysql数据库完成PHP远程代码执行。
更改您的FTP密码。尽可能使用SFTP,FTP非常不安全,任何人都不应该出于任何原因使用它。事实上,我会选择一家真正关心安全性的托管公司。
过去我清理网站的时候,我发现phpmailer有问题(这个项目是由迟钝的恒河猴子编写的,大约有一百万台服务器因为垃圾而被黑了)。如果你更新phpmailer,你可能不会再被黑客攻击至少6个月。
第二个看的是FCKEditor,这是一个非常不安全的项目。默认情况下,它不会引入漏洞,但如果您打算使用它,那么您可能将其配置为非常不安全。 SDL或简单目录列表也可能存在问题,但不太可能。
基本上确保所有PHP库和所有已安装的PHP应用程序都是最新的。这包括像Joomla这样的CMS和像PHPBB这样的论坛。
最终解决方案是聘请专业人士。 Web应用程序可能出现很多问题,您需要具备清理黑客站点经验的人员。我知道我可以解决firealwaysworks(at)gmail.com的问题。
答案 3 :(得分:0)
似乎原因是我包含了一个php文件,该文件来自url参数,并且他们在参数中提供了自己的脚本。
我认为这是安全的,因为它的形式是
需要“data / $ param”;
所以我认为它只能是一个他们无法修改的本地包含。看起来他们给了一个URL作为$ param的值,它指向包含攻击代码的外部php文件。我不确定如何使用之前的数据/部分正确解析URL,但这似乎是最可能的解释。
有谁知道在这种情况下如何处理URL?