Код Devil-Shell внедрен на мой сайт

Я ищу совет — я надеюсь, что кто-то может помочь

Мой php сайт был взломан, и я только что нашел этот код «Скрипт, закодированный Devil-Shell»:

eval(gzinflate(base64_decode($encoded)))

И все эти случайные буквы / цифры …

У меня есть несколько вопросов:

  • Что будет, если я удалю этот код? Будет ли это иметь эффект?
  • Мой сайт разрушен?
  • Есть ли что-нибудь, что можно сделать?

Спасибо за вашу помощь.

0

Решение

Это похоже на черный ход — я бы посоветовал это закомментировать.

Пока $ encoded является переменной, которую можно установить извне (например, через HTTP GET или POST), любой может выполнить любой код на вашем сервере.

1

Другие решения

Разархивируйте его, чтобы увидеть, что он делает. Убедитесь, что это не может быть выполнено. Понять ущерб, который он нанес

Найди свой недостаток в безопасности

0

Если это PHP-код, то это довольно серьезно, поскольку они смогли добавить к файлу PHP или добавить свой вредоносный файл PHP. Они в основном владеют сервером. Помимо общих советов (исправьте вашу безопасность, это может быть год работы :)) несколько реальных советов:

  • Не стирайте журналы, журналы приложений, веб-сервер или журналы БД; держите их, очень маловероятно, что кто-то введет туда что-то плохое (кроме строк). Соберите и сохраните все логи, поверьте мне, они будут полезны в будущем, если случится что-то плохое.
  • Они могли скомпрометировать весь сервер такой атакой. Вы должны быть осторожны с вашей хостинговой компанией: они могут считать вас ответственными за утечку данных в данных других людей, конфигурации и т. Д. … Это зависит от их конфигурации и соглашения, которое вы подписали с ними.
  • Не считайте ничего безопасным: БД также может быть взломана, все ключи и пароли, парольные фразы и идентификаторы сеансов, которые вы сохранили с тех пор, как сейчас, небезопасны и теперь находятся в их руках. Поэтому замените их ВСЕМИ, поскольку их целью может быть не вы, а ваш пользователь, и они теперь полностью контролируют свои браузеры (если они этого хотят).
  • Вы можете прокомментировать это, это кажется достаточно безопасным; но они добавят это снова, в более тонких формах. Считают, что.
  • Проверьте (если вы можете) трафик с вашего сайта. Обычно они создают такие простые веб-оболочки, чтобы стать частью большого ботнета. Обычно они используются для распределенного отказа в обслуживании (DDOS), майнинга биткойнов или обмена трафиком. Таким образом, вы можете считаться юридически ответственным за такие атаки / незаконное поведение, поскольку они связаны с вашей учетной записью, и это ваш договор на хостинг.

В Интернете эта тема называется «Ответ на вторжение» или «Ответ на атаку». Обычно он предназначен только для крупных предприятий, поэтому я сомневаюсь, что вы можете найти что-то полезное, но, по крайней мере, для теоретических тем это может помочь Google для этого http://www.certiguide.com/secplus/cg_sp_SixStepIncidentResponseProcess.htm

0
По вопросам рекламы [email protected]