1. Trang chủ
  2. Câu hỏi và trả lời
  3. đang Odd thêm ngay trước gần tag cơ thể

đang Odd thêm ngay trước gần tag cơ thể

2009-12-17 11 views
5

Khách hàng của tôi được báo cáo rằng mã tìm kiếm như thế này đã được tự động thêm vào cuối của tất cả các file PHP (ngay trước thẻ cơ thể đóng):đang Odd thêm ngay trước gần tag cơ thể

<b1><!--J5qN2aS2eNoNycENgCAMAMCNqEoUnYZA04DRUgI1rC+f+xxwUdDQEuliwe5u3U+wzm3HBWMMkxpR0Qnmr2E2KAyDIqAUnQGM3H0NiXwUed67q6m5/t4jHpA=--></b1>

Ông đã cố gắng bằng tay xóa dòng đó, nhưng tất nhiên nó lại xuất hiện. Googleing lợi nhuận rất ít:

bất cứ ai có thể giúp chỉ cho chúng ta đi đúng hướng? Bất cứ điều gì đặc biệt để tìm?

Nguồn

2009-12-17 shanebonham

+0

Bạn có đang sử dụng khung php hoặc các cm được đóng gói sẵn không? – a432511

+0

CMS là sản phẩm được xây dựng tùy chỉnh của chúng tôi. Nó cung cấp hàng trăm trang web, nhưng không ai báo cáo vấn đề này. Trang web cụ thể này cũng xảy ra để được lưu trữ bên ngoài (chúng tôi cung cấp lưu trữ tại Rackspace, nhưng họ không sử dụng nó). – shanebonham

+0

Dòng đó có trong tệp nguồn PHP thực hay chỉ ở đầu ra? –

Trả lời

1

Trông giống như chuỗi được mã hóa cơ sở 64.

J5qN2aS2eNoNycENgCAMAMCNqEoUnYZA04DRUgI1rC+f+xxwUdDQEuliwe5u3U+wzm3HBWMMkxpR0Qnmr2E2KAyDIqAUnQGM3H0NiXwUed67q6m5/t4jHpA=

Giải mã dường như không cung cấp bất kỳ thông tin hữu ích nào. Tôi cho rằng máy chủ bị xâm phạm.

Một trong những khách hàng của tôi có vấn đề tương tự trên một trong các trang web của anh ấy: hóa ra là biểu mẫu tải lên không có xác thực tệp thích hợp, tập lệnh Perl được tải lên và thực thi qua máy chủ web. gần như quyền truy cập root vào máy chủ bằng cách tạo một deamon.

Nguồn

2009-12-17 21:03:08

+0

Có thể là một cái gì đó như thế là những gì đã xảy ra.Tôi tin rằng họ có một vài hình thức tùy chỉnh trên trang web.Bạn sẽ đề nghị kiểm tra để xem bằng chứng về điều này, và có khả năng loại bỏ nó? tập tin câu chuyện, hoặc là tất cả điều này sẽ xảy ra trong bộ nhớ? – shanebonham

+0

Tôi mất bình luận khổng lồ của tôi vì vậy tôi sẽ được tóm tắt.Bạn có thể có một bette R may mắn đăng bài này @ ServerFault và yêu cầu nhà cung cấp sysadmin/host của bạn những gì đã xảy ra. Trong trường hợp của tôi tất cả các tệp nhật ký (tất cả các tệp bắt đầu bằng "log *" thực sự) đều biến mất, vì vậy tôi đã tạo sự khác biệt giữa các tệp và bản sao lưu và một số tệp bổ sung xuất hiện, trong số đó là rootkit. –

0

thay đổi mật khẩu FTP. có lẽ nó đã được lấy trộm từ tổng số chỉ huy hoặc khách hàng FTP khác bởi một số trojan.

có sự cố tương tự với nhóm iframe được thêm vào mã trước thẻ đóng. thay đổi mật khẩu là điều duy nhất giúp ích.

Nguồn

2009-12-17 21:25:15 dusoft

+0

Thay đổi mật khẩu không giúp tôi một chút. Tôi cũng phải loại bỏ rootkit. –

+0

Khách hàng * đã * thay đổi mật khẩu FTP, nhưng điều đó không giúp được gì. – shanebonham

Các vấn đề liên quan

 Các vấn đề liên quan