我的网站托管在不同的服务器上,被相同的base64恶意软件代码一次又一次地入侵。当我解码base64代码时,我得到了mbrowserstats.com/statH/stat.php的链接。
请注意:我的核心php和wordpress网站正在被黑客入侵。他们将base64恶意软件代码放在以下文件中-index.php,main.php,footer.php,wordpress的模板文件(index.php,main.php,footer.php),wp-admin中的index.php文件,插件,主题文件夹等
我已经尝试过下面的东西,但所有的网站都被黑客入侵了一次又一次。
-
更改了所有ftp密码
-
已将ftp客户端fileZilla更改为winSCP
-
删除了所有恶意软件代码,并将所有文件重新上传到服务器
-
上传的旧备份文件没有恶意软件代码
-
禁用了magic_quotes_gpc、register_globals以及exec&shell_exec函数
-
使用索引文件阻止直接访问文件夹
-
使用mysql_real_sescape_string函数为php网站中的插入查询清除数据
-
更新WordPress和所有插件到最新版本
-
已安装恶意软件字节反恶意软件并扫描我的计算机以查找恶意软件(全扫描)
-
确认我的网站没有使用timthumb.php文件
-
更改了文件权限(文件夹为755,文件为644)。现在只有图像上传文件夹具有777权限。
当我查看网站的访问者详细信息时,我发现了一些IP,如150.70.172.111/150.70.172.202,主机名:150-70-172-111.rendmicro.com,国家-日本。他们访问网站的时间与修改文件(注入恶意软件的文件)的时间相近。
附加信息:我使用的是Trend Micro去年的防病毒软件。我想知道主机名为"trendmicro.com"的IP是否与黑客攻击或窃取我的ftp密码有关。
我怀疑他们正在使用ftp访问来插入恶意软件代码。此外,文件修改之间的间隔时间非常短。他们在几秒钟内更新了所有文件。所以我认为他们正在使用一个程序。手动他们无法在几秒钟内编辑所有文件,因为我在同一网站的不同文件夹中有这么多文件。
请帮我解决这个问题。我尝试过很多事情,但它再次发生。感谢
处理这个问题很棘手。发生这种情况的常见方式之一是,在共享服务器上,恶意用户可以使用另一个帐户,并通过关闭和备份文件系统,将文件插入到您的上传目录中(该目录通常在共享服务器中是可写的)。这并不是密码被破解的问题。你可以做的事情:
- 使用专用/虚拟服务器-只是不是同一文件系统中有多个用户的标准共享类型
- 保持WordPress更新
- 检查您的所有主题和插件是否存在漏洞的在线通知。一个重要的问题是,许多主题都使用timthumb.php来调整图像大小,这在去年出现了一个很大的安全漏洞。您可以继续使用它,但请确保将其替换为当前版本
对于托管,我强烈建议使用以下内容http://WPEngine.com因为你不仅会获得私人体验,而且他们也会比标准托管公司更顶级的安全扫描。
此外,如果你的网站被黑客入侵,你必须非常非常小心地删除所有后门-我建议你进行一次干净的安装,这显然很难,因为你必须把你的主题放回原处,而且其中也可能包含后门。恶意用户会创建多个后门,以防其中一个后门被关闭。网上有一些脚本可以扫描这些,但没有一个是完美的。安装cleab,然后在发生黑客攻击时离线备份是一个不错的选择。