时间:2010-07-25 06:01:55

标签: php regex security

4 个答案:

答案 0 :(得分:162)

答案 1 :(得分:28)

答案 2 :(得分:3)

问:我的网站/目录有哪些可能的方式?

答:它可能没有达到/何时第一次注射。主机上的单个 777目录就可以了,其他一些安全漏洞也会出现,包括受到破坏的FTP访问,特洛伊木马,博客引擎插件或交叉授粉。

此后门的PHP初始化过程首先扫描主机以查找防病毒实用程序。 以下是具体清单:

kav nod32 bdcored uvscan sav drwebd clamd rkhunter chkrootkit iptables ipfw
tripwire shieldcc portsentry snort ossec lidsadm tcplodg sxid logcheck
logwatch sysmask zmbscap sawmill wormscan ninja

由于这是一场混淆的战争,以某种方式混淆这些工具的名称,或隐藏它们的存在是否有意义,以免恶意黑客从一开始就消灭它们?

  

危险!详细介绍了一个更紧凑,同样邪恶的远程访问工具   http://thegothicparty.com/dev/article/server-side-virus-rat/

     

doc.php 后门不同,它是远程控制的。   同样的危害和根除方法也适用。

答案 3 :(得分:0)

这很可能是由于timthumb.php hack而发生的。

如果您使用主题运行过时版本的timthumb.php,这是最常见的漏洞利用。我注意到这些混淆的PHP文件出现在timthumb的/ cache /文件夹中,所以我把它归结为这个hack。

更新timthumb文件应解决此问题。