我正在php网站上工作,它经常受恶意软件感染。我已经完成了所有安全步骤,但都失败了。但我知道每次如何感染我的代码。它来自我的php索引文件的开始,如下所示。关于删除恶意软件脚本
<script>.....</script><?
任何人都可以请帮助我如何删除我的服务器文件夹中的每个索引文件的起始块代码?我将为此使用一个cron。
我已经通过regex question for removal of javascript malware但没有找到我想要的。
您应该更改您的网站的FTP密码,并确保没有程序在后台运行,可在您的服务器上打开TCP连接,从而使某些远程伙伴能够更改您的站点文件。如果您在Linux上,请检查正在运行的进程并杀死/删除所有可疑的进程。
您也可以让所有服务器文件的只读用ROOT ...
总之,木马/恶意软件/ unautorized FTP访问是难辞其咎的,而不是JavaScript的。
此外,这更是一个超级用户的问题...
谢谢大家的健康回应... – Sharmaji
客户经常打电话给我做消毒的非备份,PHP的恶意软件感染的网站,主机服务器上,他们没有控制权。
如果我能得到shell访问,这里是一个脚本,我写了运行:
(set -x; pwd; date; time grep -rl zend_framework --include=*.php --exclude=*\"* --exclude=*\^* --exclude=*\%* . |perl -lne 'print quotemeta' |xargs -rt -P3 -n4 sed -i.$(date +%Y%m%d.%H%M%S).bak 's/<?php $zend_framework=.*?>//g'; date ; ls -atrFl) 2>&1 | tee -a ./$(date +%Y%m%d.%H%M%S).$$.log`;
这可能需要一段时间,但只修改包含木马的签名<?php $zend_framework=
它使一个备份PHP文件的感染.php版本到.bak,以便重新扫描时,将跳过这些。
如果我无法获得shell访问权限,例如。然后我创建一个简短的cleaner.php文件,其中包含基本上用于执行php的代码,但是,在经过所有子目录之前,webserver经常会超时执行脚本。
替代方法您的问题:
我把它放进一个crontab /在作业运行如。如果这种访问直接在服务器上进行调度是可能的,则每12小时一次,否则,根据允许的内容,还有更复杂的方法,例如。偶尔会从外部调用更干净的php,但每次都要通过sort --random以不同的文件夹启动(因为在60秒左右之后它会被Web服务器终止)。
不要找,告诉你这是恶意软件的模式,只是修补所有软件,关闭未使用的端口,遵循什么人跟你在这里已经不是试图清理与正则表达式或签名的代码.. 。
您的网站存在安全漏洞。你需要找到并修复这个洞。 – SLaks
定期移除恶意代码与阻止它首先进入恶意代码不同。它如何到达那里?这就是你想要的目标。 – David
如果您一次又一次感染,您的服务器可能会受到影响。 – TJHeuvel