添加惡意代碼而不修改我的PHP文件

Question

我剛剛發現我的託管帳戶（這是共享主機）中的每個網站都感染了惡意代碼。

惡意代碼是在</html>標記後附加的< script>標記。它重定向到一個俄羅斯網站。

問題是這樣的：我的PHP文件沒有被妥協。我通過FTP下載他們，他們很好。 「最後修改」日期也很好（有些文件是從2012年開始的）。即使我上傳了一個全新的PHP文件，但當我通過網絡訪問它時，它已被感染。但是如果我通過FTP再次下載它，那很好。

這就像一些.htaccess規則將惡意代碼附加到所有PHP頁面後，他們通過PHP引擎或類似的東西（但我的.htaccess文件也很好）。

可能是什麼問題？託管服務提供商是否被盜用，還是我的帳戶？我能做些什麼來解決這個問題？ Google已經向我發送了惡意軟件通知，而且支持人員的速度很慢。

謝謝你的時間，請原諒我可憐的英語。

編輯：添加<？php exit（）？>到任何PHP文件的末尾都會停止感染，所以這似乎是一個PHP問題。

Answer 1

我會做的第一件事就是更改FTP密碼，並在您用來訪問FTP的計算機上運行防病毒軟件。

之前就曾發生過這樣的事情，網絡服務器上的入侵點是盜用FTP用戶和密碼通過特洛伊木馬。

關於PHP文件，並在文件的開頭，不是他們的任何奇怪的標籤？

在我的情況下，文件在文件的開頭更新，它不僅僅是PHP文件，HTML文件也受到了影響。

在標籤後面出現的腳本標籤可能會插入它們槽的Javascript。不要依賴於修改日期（檢查這個answer）

Answer 2

是的，不會傷害改變你的ftp密碼，也尋找文件不是你的或安裝的一部分。我之前有這樣的問題，並且images目錄中有腳本，我沒有放在那裏。我刪除了它們。更改任何文件，以便它們不是世界可寫的。例如從666更改爲644。對目錄至755也一樣。如果文件和目錄屬於ftp用戶，則較低的權限應該沒問題。

然後，也許嘗試這個清理或讓你的主機做到這一點，如果你沒有訪問。

http://cachecrew.com/fixing-an-infected-php-web-server/