當我今天回家時,我發現我的所有PHP文件感染Godaddy Linux主機。下面的代碼插入在所有文件的開頭:PHP eval + gzinflate感染 - 攻擊向量是什麼?
/**/ eval(base64_decode("aWYoZnVuY3....")
根據日誌的受感染的代碼無法運行:
的eval()'d代碼行1:gzinflate()函數.gzinflate]:數據錯誤
不過,我想要防止這種情況再次發生,但我不知道他們是如何進來的。我有一個FTP訪問(無SFTP),所以理論上他們能夠嗅出密碼,但可能有一個更簡單的解釋。
他們也可以利用Godaddy的設置不安全,但在這種情況下,我不能做任何事情來阻止它。
在我的PHP代碼或配置中可能會出現一個典型的錯誤,使得可以像這樣破解php文件嗎?
這些文件是否具有公共或組寫入權限?或只是老闆? – Anthony 2010-02-03 12:43:12
這些文件是644,所以羣組只能讀取它們 – Tom 2010-02-03 13:01:17
這看起來像我之前見過的一種模式。在這種情況下,FTP密碼被FTP客戶端機器上的惡意軟件嗅探到。 – Jacco 2010-02-03 13:11:30