我的客户端报告看起来像这样的代码已自动添加到所有PHP文件的末尾(就在关闭正文标记之前):
<b1><!--J5qN2aS2eNoNycENgCAMAMCNqEoUnYZA04DRUgI1rC+f+xxwUdDQEuliwe5u3U+wzm3HBWMMkxpR0Qnmr2E2KAyDIqAUnQGM3H0NiXwUed67q6m5/t4jHpA=--></b1>
他试图手动删除该行,但当然会重新出现.谷歌回归很少:
任何人都可以帮助我们指出正确的方向吗?有什么需要寻找的吗?
这看起来像一个加密的 Base 64 编码字符串。
J5qN2aS2eNoNycENgCAMAMCNqEoUnYZA04DRUgI1rC+f+xxwUdDQEuliwe5u3U+wzm3HBWMMkxpR0Qnmr2E2KAyDIqAUnQGM3H0NiXwUed67q6m5/t4jHpA=
解码似乎没有提供任何有用的信息。我认为主机已受到威胁。
我的一位客户在他的一个网站上也遇到了类似的问题:结果发现有一个上传表单没有正确的文件验证,一个 Perl 脚本通过 Web 服务器上传并执行,并为攻击者提供了几乎 root 访问权限服务器通过创建一个守护进程。
| 归档时间: |
|
| 查看次数: |
203 次 |
| 最近记录: |