我想知道这怎么会发生。有人从我所有的域中删除了我的index.php文件,并将他自己的index.php文件与下一条消息放在一起:
通过Z4i0n黑客攻击-致命错误- 2009
[致命错误组BR]
网站desfigurado POR Z4i0n
SOMOS:Elemento_pcx - s4r4d0 - Z4i0n - BELIVE
Gr33tz:W4n73d - M4v3rick -观测- MLK - l3nd4 - Soul_Fly
2009
我的域有很多子域,但只有特定用户可以访问的子域被黑了,其余的不受影响。
我假设有人通过 SSH 进入,因为其中一些子域是空的,而 Google 不知道它们。但是我使用最后一个命令检查了访问日志,但这并没有显示攻击当天通过 SSH 或 FTP 进行的任何活动,7 天前也没有。
我已经更改了密码。你建议我做什么?
我的网站托管在Dreamhost。我想他们安装了最新的补丁。但是,当我查看他们如何进入我的服务器时,我发现了一些奇怪的事情。在我的一个子域中,有许多脚本用于在服务器上执行命令、上传文件、发送大量电子邮件和显示妥协信息。这些文件是从去年 12 月创建的!!
我已经删除了这些文件,我正在寻找更多的恶意文件。
也许安全保留是一个旧的和被遗忘的 PHP 应用程序。此应用程序具有受基于会话的密码系统保护的文件上传表单。其中一个恶意脚本位于上传目录中。这看起来不像是SQL 注入攻击。