我的网站被黑客攻击,在安全更新发生问题后从Drupal 7.3更新到7.59,但问题仍然存在。此外,我还将服务器恢复到攻击前的状态。
服务器每天都创建索引文件,在css / js文件夹等奇怪的地方,但也在现有的index.php / index.html中,这些索引文件中包含以下代码:
/*79026*/
<?PHP
@include some-folder-name/.81abc878.ico;
/*79026*/
我把字符串(不是这个特定的字符串)和路径指向一个ico文件,但如果从.ico更改为.php或.html或.txt,ico文件有一个巨大的数组
intl我不太了解79026,它与索引上的数字相同。 包含路径是一串数字/字母,我必须使用https://www.unphp.net/来解码,因为它的格式。我的理论是,它只是拦截后期数据,并将数据注入.ico文件,这实际上是一个PHP脚本。我无法访问该文件,但如果我再次找到该文件,我一定会发布更新。
任何有关解决此问题的帮助或指导都会很棒。
答案 0 :(得分:2)
如果我记得,安全问题是远程代码执行。这意味着他们可以在您的服务器上安装脚本,甚至修改您的sshd以便为他们提供远程访问。
设置新服务器,仅恢复drupal数据库,并重新安装drupal fresh,并使用已更新的版本。然后解决您的网站出现的任何问题,注意不要从旧服务器复制文件(媒体/图像除外)。
希望这会让你处于一个干净的状态。