我知道有很多类似的问题,但是没有一个涉及到这个问题:
我发现客户端服务器脚本注入几乎所有的PHP文件,这实际上是在这里提到的脚本: https : //stackoverflow.com/questions/20658823/hacked-site-encrypted-code 。
现在我知道很难确定进入的地点,但是有一些事实我相信对于比我更适合的人来说也是有意义的。
情况
几乎所有的PHP文件都被感染了
有一个文件夹中有一些受感染的文件,但它没有任何权限的FTP用户,我正在使用上传文件到服务器
即使是不公开查看或由谷歌索引的文件被感染
在非索引文件夹中有一些文件被感染,有些则没有。 那些没有被感染的人很可能不会或很less被任何人呼叫
题
考虑到上述事实,是否有可能整个服务器被攻破(apache,…)或者它可能只是一个不安全的PHP脚本。 当只有PHP脚本被滥用时,甚至有可能看到这样的情况吗?
现在是否足够更新PHP脚本,删除病毒代码,并希望假设服务器本身没有受到威胁? (当然,更改SFTP帐户凭据)
编辑:关于它是一个重复的评论
正如我之前所说,我读了其他职位,我不需要知道一个行动的过程中,我只是好奇的PHP文件被修改的FTP文件夹不能被FTP用户写入, 如果这是可能的使用PHP脚本/ MYSQL漏洞,或者只有当攻击者有FTP传递或更深的服务器访问时。
服务器上的PHP文件可能有写入代码的漏洞。 一个这样的例子是接受用户input并且不对input进行任何validation检查的代码。
有一些机器人通常用来find这种types的代码,并validation它可以利用它。 病毒会自动复制到每个可以find的PHP文件。
它不需要通过FTP来访问文件进行身份validation,因为漏洞利用本身绕过了任何需要的身份validation。
唯一可以合理推断的是,在没有FTP访问权限的目录下修改文件的事实是,它们没有使用FTP进行修改。
这意味着除FTP之外,服务器中的其他内容已经被盗用。
这意味着你应该更加急切地尽快核实它。