Devil-Shell 代码注入我的网站

Question

我正在寻找一些建议 - 我希望有人可以提供帮助

我的 php 网站被黑了，我刚刚发现了这段代码“Devil-Shell 编码的脚本”：

eval(gzinflate(base64_decode($encoded)))

所有这些随机的字母/数字...

我有几个问题：

• 如果我删除此代码会怎样？会不会产生连锁反应？
• 我的网站被毁了吗？
• 有什么可以做的吗？

感谢您的帮助。

Answer 1

它看起来很像一个后门 - 我建议将其注释掉。

只要 $encoded 是一个可以在外部设置的变量（例如通过 HTTP GET 或 POST），任何人都可以在您的服务器上执行任何代码。

Answer 2

解压看看它的作用。确保无法执行。了解它造成的损害

找出你的安全漏洞

Answer 3

如果那是 PHP 代码，那是相当严重的，因为他们能够附加到 PHP 文件或添加他们的 PHP 恶意文件。他们基本上拥有服务器。除了一般建议（修复您的安全性，这可能需要一年的工作:)）一些现实生活中的提示：

• 不要删除日志、应用程序日志或 Web 服务器或数据库日志；保留它们，不太可能有人在那里注入任何不好的东西（除了字符串）。收集并保存所有日志，相信我，如果将来发生不好的事情，它们会很有用。
• 他们本可以通过这样的攻击破坏整个服务器。您需要小心您的托管公司：他们可能会认为您应对其他人的数据、配置等中的数据泄露负责......这取决于他们的配置以及您与他们签署的协议。
• 不要认为任何事情都是安全的：数据库也可能遭到破坏，您从现在起存储的所有密钥和密码以及密码短语和 sessionID 都不安全，现在都掌握在他们手中。因此，全部替换它们，因为它们的目标可能不是您，而是您的用户，而且他们现在也完全可以控制自己的浏览器（如果他们愿意的话）。
• 你可以把它注释掉，看起来很安全；但他们会以更微妙的形式再次添加它。考虑一下。
• 检查（如果可以的话）来自您网站的流量。通常，他们会构建类似这样的简单 webshel​​l，作为更大僵尸网络的一部分。通常它们用于分布式拒绝服务 (DDOS)、比特币挖掘或流量交换。因此，您可能会被认为对此类攻击/非法行为负有法律责任，因为它们与您的帐户相关联，并且托管合同是您的。

在互联网上，这个话题被称为“Intrustion Response”或“Attack Response”。它通常只为大企业量身定制，所以我怀疑你能找到任何有用的东西，但至少对于理论主题，它可能有助于谷歌http://www.certiguide.com/secplus/cg_sp_SixStepIncidentResponseProcess.htm