Когда наш сайт был заражен, мы всегда просто изменяем пароль root и пароль mysql, исправляем код, где есть уязвимость. Но я думаю, что этого недостаточно, у кого-то есть больше прогресса на нем? Я просто не знаю, имеет ли он бэкдор в нашей системе или имеет другую атаку, о которой я не знаю.Что делать, если наш сайт был заражен
Проблема в том, что после того, как система была однажды взломана, вы не можете быть на 100% что хакер не оставил вам бэкдор, если только он не оставит журнал того, что он сделал.
Лучшим способом будет полная перезагрузка системы. Переустановите ОС и полностью перестройте сервер. Однако это не всегда возможно.
Я бы посоветовал вам
(оригинальный пост говорил инъекции - не инфекция)
ну, у системы есть какая-то другая услуга, она не может быть восстановлена сразу. Я проверяю журнал доступа, ошибку, но это кажется нормальным, за исключением отсутствия одного или двухчасового журнала. И в mysql binlog только что нашел, что он создал таблицу и вставлял одну информацию, а затем удалялся! Мне скучно, что я не могу ничего сделать, чтобы убедиться, что он всегда там! – xiaopihai
Звучит как SQL-инъекция, но странная вещь что журналы отсутствуют. Выполнение этого через SQL очень сложно. Может быть, хакер может выполнить код через функцию 'exec()'? – GuyT
Когда вы говорите «введенный», вы имеете в виду «зараженный»? – Dai
Возможно, сервер взломан. Также убедитесь, что вы не уязвимы для XSS, SQL-инъекций, ... – GuyT
Надеюсь, что это поможет вам больше ... http://stackoverflow.com/questions/60174/how-can-i- prevent-sql-injection-in-php – DeDevelopers