可能重复:
我的服务器被黑了应急
我刚刚发现,我的网站,我相信,已被黑客入侵。 连同我的主机上的其他一些网站。 如果你去到网站的底部,你会看到一个iframe。 我不知道那是什么,它不应该在那里。
我从我的网站删除了所有的代码,它仍然在那里。
我检查了htaccess,也许有人添加了auto_append。 没有。
任何线索,如何可以添加到我的网站的底部?
我目前正在下载一些日志文件来查看。
首先要做的是提醒你的托pipe公司。 他们将能够查看您无法访问的日志。
其次:我看到你使用的WordPress的。 你需要:
– 检查并看看Wordpress是up2date
– 检查并确保你所有的WordPress插件也up2date
如果上述任何一个不是up2date,则需要检查并确定您正在运行的版本是否存在已知的漏洞。 (检查软件的网站等)
开始通过你的webrootfind任何不合适的文件。 确保也看在温度dirs。
如果发现它是一个不好的黑客攻击,那么您将需要从已知的好备份中恢复。
这应该让你开始正确的方向。
**编辑:请忽略/缩小XTZ的答案。 这是反动和危险的,更不要说不准确。
如果他们能够编辑php.ini ,我相信他们可以添加页脚到每个PHP页面(显然,你不会看到你自己的代码)。 做一个test.php文件,看看它是否仍然发生。
我去了有问题的网站,它试图安装一个木马,如:
http://www.martinsecurity.net/2008/09/04/analyzing-a-malicious-pdf-trojpdfjs-a/
使用JavaScript加载恶意的PDF文件。 查看代码,它也看起来非常相似。 可能应该避免,除非你已经locking了你的电脑。 至于解决scheme,我想联系您的托pipe公司,正如Anapologetos所说,将是必不可less的第一步。
从数据库中生成的不是像大多数CMS一样的WordPress页面吗?
如果是这样的话,那么开源CMS,PHP和共享网站托pipe就是一个肮脏的小秘密:在许多共享托pipe服务器上,每个人的PHP脚本都以相同的权限(即Apache守护进程的UID和GID)运行。
这意味着,如果PHP可以读取你的脚本,它可以读取服务器上其他所有客户的脚本。 反之亦然。
但是,许多开源CMS在其PHP脚本中存储高权限数据库凭证。 Drupal做到这一点; Joomla做到这一点; 我没有看过WordPress的源代码,但如果没有这样做,我会感到惊讶。
简而言之: 完全特权访问您的WordPress数据库是极其可能的,每个与您共享服务器的其他用户都可轻松访问。
我有点讨厌以大胆的方式写这个,但是我觉得我已经在这个问题上撞了我的头几个月了,在这段时间里,我碰到了两个,可能是三个显然是信誉良好的托pipe公司,使用这个设置,只是不能被它提出的巨大的安全问题所困扰。
在closuresHTML标记之后,页面源代码中的JavaScript代码是什么?
因为它显示它是一个元标记( <meta name="generator" content="WordPress 2.7.1" /> ),例如,我可以看到你,所以我会得到隐藏你的WordPress版本的页面源代码的扩展'重新运行'WordPress 2.7.1“(这是当前版本:拍拍:)但一旦发现,人们将能够search它。
另外检查你的WordPress安装使用的其他文件。 我知道,它可以inculde和要求(不会显示在页面源代码,因为他们是基于PHP的)从其他文件,我知道extenstions /主题也可以这样做,确保这些是最新的。
另外检查看看安装/启用了什么扩展和主题,摆脱任何你不知道的东西。
回答这些问题应该可以帮助您find解决scheme。