大多数共享服务器可能面临着在其网站中注入假 PHP 代码的问题,这可能导致生成垃圾邮件、重定向到其他网站、创建社会工程 URL 等。
建议一个有效的方法
找出在扫描过程中未找到的垃圾邮件生成脚本(maldet 等)。
停止电子邮件垃圾邮件
答案1
找到创建高邮件队列的主目录
grep 'cwd=/home' /var/log/exim_mainlog | awk '{print $3}' | cut -d / -f 3 | sort -bg | uniq -c | sort -bg
查找特定主目录下的网站中是否存在任何 PHP 文件的多重 POST 操作。如果是,请检查该文件,如果发现可疑,请将其锁定。如果 IP 来自特定 IP,请阻止该 IP。
grep POST /usr/local/apache/domlogs/<homedirectory>/* | grep PHP | grep 200
我在大多数受感染的文件中发现了“模式 1”。
模式 1
grep -irl "GLOBALS.*eval" . | xargs ls -la | grep php
模式 2
grep -irl "Array.*eval" . | xargs ls -la | grep php
模式 2 在 PHP 文件和压缩的 jquery 文件中很常见。但这种模式也出现在一些受感染的文件中。因此,您应该打开每个文件并检查是否存在恶意代码。
模式 3 (伪造的 jQuery 注入)
grep -irl "jQuery.min.php" . | xargs ls -la
有关 jQuery.min.php 恶意软件的详细信息:https://blog.sucuri.net/2015/11/jquery-min-php-malware-affects-thousands-of-websites.html