Question

我正在寻找一些建议 - 我希望有人可以提供帮助

我的php网站被黑了，我刚刚发现了这段代码＆＃39;由Devil-Shell编写的脚本＆＃39;：

eval(gzinflate(base64_decode($encoded)))

所有这些随机字母/数字......

我有几个问题：

感谢您的帮助。

Answer 1

它几乎看起来像是一个后门 - 我建议对此进行评论。

只要$ encoded是一个可以在外部设置的变量（例如通过HTTP GET或POST），任何人都可以执行服务器上的任何代码。

Answer 2

解压缩以查看其功能。确保无法执行。了解它所造成的损害

找出你的安全漏洞

Answer 3

如果那是PHP代码，那就非常严重了，因为他们能够附加到PHP文件或添加他们的PHP恶意文件。他们基本上拥有服务器。除了一般建议（修复你的安全，这可能是一年的工作:) :)一些现实的提示：

不要删除日志，应用程序日志或Web服务器或db日志;保留它们，不太可能有人在那里注入任何不好的东西（除了字符串）。收集并保存所有日志，相信我，如果发生不好的事情，它们将来会有用。
他们本可以通过这样的攻击来破坏整个服务器。您需要小心托管公司：他们可能会认为您对其他人的数据，配置等中的数据泄露负责......这取决于他们的配置以及您与他们签署的协议。
不要考虑任何安全问题：数据库也可能受到损害，您现在存储的所有密钥和密码以及密码和会话ID都是不安全的，现在掌握在他们手中。所以全部替换它们，因为他们的目标可能不是你而是你的用户，他们现在完全控制他们的浏览器（如果他们想要的话）。
你可以评论出来，似乎足够安全;但他们会以更微妙的形式再次添加它。考虑一下。
检查（如果可以）您网站的流量。通常他们会构建简单的网壳，以便成为更大的僵尸网络的一部分。通常它们用于分布式拒绝服务（DDOS），比特币挖掘或流量交换。因此，您可能被视为对此类攻击/非法行为负有法律责任，因为它们与您的帐户相关联，而且是您的托管合同。

在互联网上，此主题称为“内部响应”或“攻击响应”。它通常只针对大企业量身定制，所以我怀疑你能找到任何有用的东西，但至少对于理论主题它可能有助于google http://www.certiguide.com/secplus/cg_sp_SixStepIncidentResponseProcess.htm