我正在php網站上工作,它經常受惡意軟件感染。我已經完成了所有安全步驟,但都失敗了。但我知道每次如何感染我的代碼。它來自我的php索引文件的開始,如下所示。關於刪除惡意軟件腳本
<script>.....</script><?
任何人都可以請幫助我如何刪除我的服務器文件夾中的每個索引文件的起始塊代碼?我將爲此使用一個cron。
我已經通過regex question for removal of javascript malware但沒有找到我想要的。
您應該更改您的網站的FTP密碼,並確保沒有程序在後臺運行,可在您的服務器上打開TCP連接,從而使某些遠程夥伴能夠更改您的站點文件。如果您在Linux上,請檢查正在運行的進程並殺死/刪除所有可疑的進程。
您也可以讓所有服務器文件的只讀用ROOT ...
總之,木馬/惡意軟件/ unautorized FTP訪問是難辭其咎的,而不是JavaScript的。
此外,這更是一個超級用戶的問題...
謝謝大家的健康回應... – Sharmaji
客戶經常打電話給我做消毒的非備份,PHP的惡意軟件感染的網站,主機服務器上,他們沒有控制權。
如果我能得到shell訪問,這裏是一個腳本,我寫了運行:
(set -x; pwd; date; time grep -rl zend_framework --include=*.php --exclude=*\"* --exclude=*\^* --exclude=*\%* . |perl -lne 'print quotemeta' |xargs -rt -P3 -n4 sed -i.$(date +%Y%m%d.%H%M%S).bak 's/<?php $zend_framework=.*?>//g'; date ; ls -atrFl) 2>&1 | tee -a ./$(date +%Y%m%d.%H%M%S).$$.log`;
這可能需要一段時間,但只修改包含木馬的簽名<?php $zend_framework=
它使一個備份PHP文件的感染.php版本到.bak,以便重新掃描時,將跳過這些。
如果我無法獲得shell訪問權限,例如。然後我創建一個簡短的cleaner.php文件,其中包含基本上用於執行php的代碼,但是,在經過所有子目錄之前,webserver經常會超時執行腳本。
替代方法您的問題:
我把它放進一個crontab /在作業運行如。如果這種訪問直接在服務器上進行調度是可能的,則每12小時一次,否則,根據允許的內容,還有更復雜的方法,例如。偶爾會從外部調用更乾淨的php,但每次都要通過sort --random以不同的文件夾啓動(因爲在60秒左右之後它會被Web服務器終止)。
不要找,告訴你這是惡意軟件的模式,只是修補所有軟件,關閉未使用的端口,遵循什麼人跟你在這裏已經不是試圖清理與正則表達式或簽名的代碼.. 。
您的網站存在安全漏洞。你需要找到並修復這個洞。 – SLaks
定期移除惡意代碼與阻止它首先進入惡意代碼不同。它如何到達那裏?這就是你想要的目標。 – David
如果您一次又一次感染,您的服務器可能會受到影響。 – TJHeuvel