我知道有很多类似的问题,但没有一个涉及这个特定问题:
我发现客户端服务器上的几乎所有 PHP 文件都存在脚本注入,实际上就是这里提到的脚本:https://stackoverflow.com/questions/20658823/hacked-site-encrypted-code。
现在我知道很难确定切入点,但我相信有些事实对于比我更适合的人来说是有意义的。
情况
几乎所有 PHP 文件均被感染
有一个文件夹包含一些受感染的文件,但我用来将文件上传到服务器的 FTP 用户却没有任何权限
即使是那些无法公开查看或被谷歌索引的文件也被感染了
在非索引文件夹中,有些文件被感染,有些则没有。未被感染的文件很可能从未或极少被任何人调用过
问题
考虑到上述事实,整个服务器(apache 等)是否可能被攻陷,或者可能只是一个不安全的 PHP 脚本。当只有一个 PHP 脚本被滥用时,是否可能看到这种情况?
现在只需更新 PHP 脚本、删除病毒代码并希望服务器本身没有受到损害就足够了吗?(当然是更改 SFTP 帐户凭据)
编辑:关于它是重复的评论
正如我之前所说,我确实阅读了其他帖子,我不需要知道行动方案,我只是好奇在 FTP 用户不可写的文件夹中修改 PHP 文件,并且如果使用 PHP 脚本/MYSQL 漏洞可以实现此目的或者只有当攻击者拥有 FTP 权限或更深层次的服务器访问权限时才会发生。
答案1
服务器上的 PHP 文件可能存在写入代码的漏洞。其中一个例子就是接受用户输入但不对输入进行任何验证检查的代码。
通常会使用机器人来查找此类代码并验证其是否可以利用它。然后病毒会将自身复制到可以找到的每个 PHP 文件中。
它不需要通过 FTP 等方式进行身份验证即可访问文件,因为漏洞本身可以绕过任何所需的身份验证。
答案2
从文件在不允许 FTP 访问的目录中被修改这一事实可以合理推断的唯一事情是,这些文件不是使用 FTP 进行修改的。
这意味着服务器中除了 FTP 之外的其他东西也受到了损害。
这意味着你应该更加渴望尽快将其消灭。