答案 0 :(得分:162)
答案 1 :(得分:28)
答案 2 :(得分:3)
问:我的网站/目录有哪些可能的方式?
答:它可能没有达到/何时第一次注射。主机上的单个 777目录就可以了,其他一些安全漏洞也会出现,包括受到破坏的FTP访问,特洛伊木马,博客引擎插件或交叉授粉。
此后门的PHP初始化过程首先扫描主机以查找防病毒实用程序。 以下是具体清单:
kav nod32 bdcored uvscan sav drwebd clamd rkhunter chkrootkit iptables ipfw
tripwire shieldcc portsentry snort ossec lidsadm tcplodg sxid logcheck
logwatch sysmask zmbscap sawmill wormscan ninja
由于这是一场混淆的战争,以某种方式混淆这些工具的名称,或隐藏它们的存在是否有意义,以免恶意黑客从一开始就消灭它们?
危险!详细介绍了一个更紧凑,同样邪恶的远程访问工具 http://thegothicparty.com/dev/article/server-side-virus-rat/
与 doc.php 后门不同,它是远程控制的。 同样的危害和根除方法也适用。
答案 3 :(得分:0)
这很可能是由于timthumb.php hack而发生的。
如果您使用主题运行过时版本的timthumb.php,这是最常见的漏洞利用。我注意到这些混淆的PHP文件出现在timthumb的/ cache /文件夹中,所以我把它归结为这个hack。
更新timthumb文件应解决此问题。