Все файлы PHP взломаны

Question

Как всегда, просто хочу сказать спасибо за всю помощь и вклад заранее.

У меня есть конкретный сайт, для которого я являюсь веб-разработчиком, и столкнулся с уникальной проблемой. Кажется, что-то попадает в каждый PHP-файл на моем сайте и добавляет вредоносный код. Я несколько раз удалял код с каждой страницы и менял пароли FTP и БД, но безрезультатно.

Код, который добавляется, выглядит следующим образом - eval (base64_decode (string)) - который string равен 3024 символам.

Не уверен, сталкивался ли кто-либо еще с этой проблемой или у кого-нибудь есть идеи о том, как я могу защитить свой php-код.

Еще раз спасибо.

Answer 1

Сам сервер может быть взломан. Сообщить о проблеме на ваш веб-хостинг. Каков их ответ?

Небезопасный PHP-скрипт в сочетании с неправильными правами доступа к файлу может дать злоумышленнику возможность изменять ваши PHP-файлы. Чтобы исключить эту возможность, я бы отключил сайт, удалил все файлы, повторно загрузил, а затем переключил разрешения на всем сайте, чтобы запретить любые записи в файловую систему.

Edit: В качестве кратковременного исправления попробуйте попросить веб-хостинга отключить eval() для вашей учетной записи. Если они того стоят, они должны запустить Suhosin , у которого есть опция для отключения eval .

Answer 2

Вы должны использовать "disable_functions = eval, exec" в вашем php.ini или .htaccess в качестве первой меры.

Answer 3

Вы также должны заметить, что (если вы используете хостинг-решение для размещения вашего сайта), это почти никогда не ваша вина. Примером является то, что компания, принимающая сетевые решения, недавно взломала сервер и затронула более 1K веб-страниц не из-за дыр в безопасности на каждом конкретном сайте, а из-за неправильной настройки / отслеживания того, что было установлено на этом конкретном сервере, на котором размещены эти сайты. Если вы не видите ничего плохого в безопасности с вашим кодом, то есть вы все правильно очищаете, или вы используете не уязвимую версию того CMS, который вы используете (если вы используете CMS), тогда, вероятно, это не проблема с вашим сайт, просто сервер в целом.

Answer 4

У меня была похожая проблема. Однако моя проблема заключалась в том, что я запускал на своем сайте программу оценки кода Python Насколько я помню, вам нужно использовать функцию eval () для выполнения кода на python. В одном из моих php-файлов у меня было странное заявление eval. Какой сценарий вы разрабатываете? Я имею в виду, включает ли это оценку какого-то другого кода?

Answer 5

Вам следует изменить права доступа к файлам, чтобы только вы могли писать в эти файлы. 0777 (по умолчанию на некоторых хостах, я считаю) просто напрашивается на неприятности. См. Разрешения для файлов.

Кроме того, желательно не помещать файлы, которые не должны быть доступны по URL-адресу, вне папки public_html, например файлы конфигурации.

Answer 6

да, я сам столкнулся с этой проблемой, я так понимаю, вы на общем хосте? ты случайно на RackSpaceCloud?

вот где у меня возникла эта проблема, первое, что вам нужно сделать немедленно, это уведомить ваш хост, это проблема хостинга, и я подозреваю, что вредоносная программа получила доступ к вашему серверу на уровне ftp.

убедитесь, что у вас нет ничего доступного для записи в chmod 777, если ваше приложение должно быть доступно для записи, сделайте это 775

надеюсь, это поможет, удачи

Answer 7

Получите время последнего изменения ваших файлов, затем перейдите к вашим журналам доступа (FTP, HTTP, что бы ни было открыто, если вы не знаете, где они спрашивают ваш хост) и выясните, кто обшаривал вашу систему в это время.

Вероятно, злоумышленник установил скрипт, который он может периодически вызывать для повторного заражения любых файлов, которые вы исправляете.

Answer 8

Один из возможных сценариев заключается в том, что кому-то удалось каким-то образом получить доступ для записи и поменять пароли и т. Д., Но он оставил файл php, который все еще может работать.

Посмотрите, есть ли там неизвестные файлы. Или удалите каждую чертову вещь и восстановите некоторые резервные копии.

Answer 9

Я сталкивался с вирусами, которые читают файлы filezilla conf. КЛЯНУСЬ БОГОМ. сначала я был: WOW, потом я был: мама f *** подлый b * stards.

Проверьте свой компьютер на наличие вирусов.

Answer 10

Вы должны перейти на другой сервер. Может показаться, что злоумышленник имеет доступ к серверу или выполняет некоторый код в качестве фонового процесса, который перезаписывает файлы. Может быть возможно определить и устранить проблему, но умные злоумышленники скрывают дополнительные сценарии и т. Д., Чтобы сбить вас с толку позже.