我的网站最近被黑了,并且被污损了。现在我有奇怪的文件,不知道它们来自哪里。我只想知道,这些文件中有哪些有害或可能导致我再次被黑客入侵。
.htaccess包含以下代码:
<Files 403.shtml>
order allow,deny
allow from all
</Files>
deny from 121.54.58.159
该文件.wysiwygPro_preview_eacf331f0ffc35d4b482f1d15a887d3b.php包含以下代码:
// display the HTML code:
echo stripslashes($_POST['wproPreviewHTML']);
?>
PHP 文件是一个XSS 后门。它允许攻击者在您的站点上下文中提供任何带有 JavaScript 的 HTML。这允许他访问您网站设置的 cookie。
攻击者将诱骗受害者使用 wproPreviewHTML 变量中的恶意代码对该文件执行 POST 请求。如果该用户在您这边具有特殊权限,例如因为他已登录,那么攻击者将能够做任何事情,该用户可以做的事情。
禁止的错误也可能是可疑的。一些恶意软件试图隐藏在错误文件中。由于错误文档通常位于正常网页的文档根文件夹之外,因此此类修改很可能会被忽视。
您需要从头开始设置服务器,因为您无法知道操作的完整影响。很可能在某个地方隐藏了一个后门。不要将任何程序文件(包括脚本和 php 文件)从受感染的服务器复制到新服务器。
此外,还有一些针对台式计算机的恶意程序,它们在通过 FTP 或 SFTP 上传期间操纵 php 文件。
网站被黑了?遵循此清单:
更改所有密码。包括:
FTP密码
数据库密码
网站管理员密码。
禁用任何不必要的插件、模块等。
删除任何未使用的软件(例如,您从未使用过的博客,或者您只使用过一次的数据库管理工具)
将您使用的所有网络软件(例如 Joomla、wordpress 等)以及任何剩余的插件和模块更新到最新版本。
将系统软件组件更新到最新版本。(例如apt-get update && apt-get upgrade或yum update)
尽可能启用自动更新。
强烈考虑使用操作系统控件在您的网络服务器之上提供额外的控制和审核层。
还要花时间阅读有关该问题的所有答案。
这个文件 .wysiwygPro_preview_eacf331f0ffc35d4b482f1d15a887d3b.php 不是需要担心的后门。每当您在 cpanel 的文件管理器中使用内置的 html 编辑器时,它都会由 cpanel 文件管理器创建。
如果文件被编辑器留下,则应将其删除。