PHP：

1. allow_url_fopen 需要关闭。我想这就是你被拥有的方式。大错特错！
2. display_errors 需要关闭。我一直使用这些来查找路径披露。
3. file_uploads 需要关闭。这可能是你拥有的另一种方式。
4. Expose_php 需要关闭
5. 安全模式需要开启
6. magic_quotes_gpc 应该设置为 On

这些都是严重的问题。您很可能受到 LFI/RFI 僵尸网络的攻击。您将需要安装一个新服务器，但不要复制任何代码、数据库中的数据或任何平面文件（也不要重复使用任何密码——此时它们都是可疑的！您有责任更改您所有的密码，并告诉您的用户也这样做）。

让我提醒你这次袭击的严重性。您服务器上的任何 PHP 代码或其他内容都可以（并且可能确实）包含其他后门。如果您在此事件之前没有进行文件完整性监控，那么您将不得不构建一个没有此 PHP 代码和内容的新服务器。你不能只是复制它——你必须手动重新创建它。

其次，如果使用 MySQL 等数据库，则无法信任数据库中的数据。您无法复制 MySQL 数据文件，甚至无法将相同的数据记录、列或表使用到新机器上。您应该将所有这些数据视为能够接管其安装的任何新机器，并向访问连接到该数据库的任何网站或使用该数据库中任何数据的任何人发送恶意软件。

最后，所有平面文件也不能被信任——包括像 /etc/passwd 和 /etc/shadow 文件这样的重要文件。您不能重复使用任何这些数据，并且所有密码都是可疑的。您数据库中的密码也是可疑的。

如果有人曾经从这台机器上进行过 SSH，请考虑这些远程帐户已被盗用。如果 LAN 上有任何机器的本地连接 - 也将这些机器视为受到损害。连接到其他服务（例如外部数据库）的任何 PHP 文件中的任何密码也应被视为已泄露。一切都需要重组。您无法从备份中恢复！

您遇到了非常严重的麻烦，可能需要聘请外部帮助！

在我自己经历过类似（但更严重）的妥协之后，我可以告诉你 atdre 是完全正确的。处理任何安全威胁有四个基本步骤：

1. 关闭：关闭所有受感染的系统。此时不要擦拭它们。
2. 分析：在无菌环境中使用来自受感染系统的数据来尝试确定近因和程度。我强烈建议此时聘请安全顾问。
3. 披露：告诉任何受影响的用户漏洞利用的性质和后果，以及他们应该如何处理。这会很痛，但你必须这样做。
4. 恢复：从太空中对受损系统进行核攻击。这意味着重新安装完整的操作系统，或者在可能的情况下启动一个全新的系统。如果您需要从系统中恢复数据，请使用攻击时间之前的备份。不要使用任何可能被泄露的数据。如果你认为你可以清理它，你绝对不能。在重新连接新系统之前，修复您在步骤 (2) 中发现的安全漏洞，并对其他可能的漏洞进行仔细审核。

更彻底的答案在以下问题中。它在我需要的时候帮助了我很多。

https://serverfault.com/questions/218005/my-servers-been-hacked-emergency

1)确保所有库、模块和应用程序都已完全更新。

2)停止使用 FTP。有些蠕虫通过嗅探 FTP 登录来传播。

3) 运行PHPSecInfo

4) 考虑使用类似 mod_security 的 Web 应用程序防火墙 (WAF)。

5）如果偶然你可以得到攻击者或访问后门的人的IP地址。 向联邦调查局报告。（WAF 对此有帮助）

（奖励积分：用一个简单的 .php 脚本替换后门，该脚本记录 ip 地址。如果有人点击它，您将获得 fbi 的 ip）

你应该擦拭整个机器。攻击者有足够的权限访问您的服务器来更改某些文件；他可能可以执行任意代码。不幸的是，本地特权升级漏洞往往大量存在。正确更新的机器应该没有远程攻击，但是相信针对本地用户的安全性有点幼稚。您的一个用户很可能被黑了（密码被猜到了，或者他的本地机器被黑了，而攻击者只是跟随了 SSH 会话）。

因此，攻击者安装了一个 rootkit 是合理的，你很难从机器本身检测到它（rootkit 旨在使其自身不可见）。因此推荐擦拭。

什么会更糟？您无法为年度活动优化地重新配置您的大型站点？或者该网站在所述事件的中间突然变成了色情盛会？