你有更大的问题。有人显然攻击了你的网站,并找到了执行任意(PHP)代码的方法。根据注入的代码执行的其他操作,您的整个服务器可能会受到威胁。根据您的安全实践/意识(可能不太好,因为您必须要求),其他系统也可能会被从受感染的网络服务器中吸取的信息泄露。这些是需要考虑的事情,不一定按照这个顺序排列,而且清单并非详尽无遗。
- 让您的网络服务器离线。即使你不做其他任何事情,也要做到这一点,并先做这件事。这是为了保护在您的网站上偶然发现的无辜的人:注入的代码的全部目的可能是通过提供恶意软件攻击他们。告知您的用户此网站受到攻击,如果可能,也可以通过其他渠道(例如电子邮件)泄露其信息。
-
kill所有挥之不去的PHP进程/网络服务器进程。 (kill -9为顽固的人。)
- 删除包含的文件(而不是执行
include_once()的代码。)
- 删除注入的代码。 (执行
include_once())的代码
- 首先了解代码是如何注入PHP脚本的。
- 解决这些问题。
- 检查攻击者没有其他方法可以返回并执行相同操作,例如,具有shell访问权限的用户帐户不应该在那里...
- 再次检查,确保您不允许执行您网站用户上传的文件(如果您执行了
chmod 777之类的错误,可能是原因)。
- 再次检查,攻击者可能刚刚在您的系统上使用后端版本更换了二进制文件。或上传其他二进制文件并执行它们。或者将受攻击网站上的恶意软件提供给您的用户。
- 检查您的攻击者是否没有升级,例如您知道如何获取登录托管服务提供商管理面板,shell帐户,电子邮件,root访问权限或备份的凭据,源代码存储库...他们可能已经篡改了您当前不知道的其他内容,或者可能只是简单地回来并使用管理工具来撤消您之后的辛勤工作。
- 对发生的事情,发生的事件,事件的发生以及之后发生的事情进行彻底的根本原因分析。这是为了让您了解如何作为系统管理员进行改进,可能会避免将来发生在系统管理员身上,但更有可能帮助您发现并警告您再次发生这种情况。系统管理员是一个24x7的工作,主要是因为这个原因:当你设置好时,你不能放松并继续前进。
- 提醒您的托管服务提供商,请他们同时查看。
- 也许,所有事情都被视为完全擦除并重新安装您的操作系统,在配置过程中更加关注安全性可能是这里的方法。
- 当您最终清理并恢复后,请从已知的良好/干净备份重新启用您的网站。
可能更糟糕。当谈到糟糕的安全实践时,你很难独自/第一个。可能结果表明,您的入侵不是因为您自己的错误,而是因为您的托管服务提供商的安全性较差(例如,那些漂亮且方便的管理面板也包含安全漏洞)。但事实上,假设是你搞砸了,并从那里小心翼翼地进行。
