可能重复:
我的服务器被黑了 紧急求助
我有一个新客户,他的网站看起来好像被黑客入侵了。它运行的是 Drupal,我已在其上运行 Hacked 以验证文件结构是否未发生改变。我可以添加 Paranoia 模块,但有点晚了。
不幸的是,该网站的开发过程中,大量 PHP 代码直接插入到节点中,因此大量自定义代码都位于数据库中。这些代码全部通过 eval() 运行。
我想知道的是如何快速搜索数据库以确定是否存在恶意 PHP 或 Javascript,在将站点迁移到更安全的环境之前需要清理这些恶意 PHP 或 Javascript。
我可以搜索“”,所以可以搜索那个。
任何想法或最佳实践都将受到赞赏。
答案1
为了隐藏源代码,黑客最常用的方法是使用以下方法进行编码:base64然后使用base64_decode和eval()函数在运行时执行代码。
因此,我建议您使用以下方法将数据库转储为文本mysqldump,然后搜索base64字符串。