Я ищу совет — я надеюсь, что кто-то может помочь
Мой php сайт был взломан, и я только что нашел этот код «Скрипт, закодированный Devil-Shell»:
eval(gzinflate(base64_decode($encoded)))
И все эти случайные буквы / цифры …
У меня есть несколько вопросов:
Спасибо за вашу помощь.
Это похоже на черный ход — я бы посоветовал это закомментировать.
Пока $ encoded является переменной, которую можно установить извне (например, через HTTP GET или POST), любой может выполнить любой код на вашем сервере.
Разархивируйте его, чтобы увидеть, что он делает. Убедитесь, что это не может быть выполнено. Понять ущерб, который он нанес
Найди свой недостаток в безопасности
Если это PHP-код, то это довольно серьезно, поскольку они смогли добавить к файлу PHP или добавить свой вредоносный файл PHP. Они в основном владеют сервером. Помимо общих советов (исправьте вашу безопасность, это может быть год работы :)) несколько реальных советов:
В Интернете эта тема называется «Ответ на вторжение» или «Ответ на атаку». Обычно он предназначен только для крупных предприятий, поэтому я сомневаюсь, что вы можете найти что-то полезное, но, по крайней мере, для теоретических тем это может помочь Google для этого http://www.certiguide.com/secplus/cg_sp_SixStepIncidentResponseProcess.htm