ウイルス駆除：コードが何度も繰り返される

Question

index.phpに次のコードが見つかりました。削除しても何度もやります。

screenshot

いただきましソリューション？

助けてください。

Answer 1

大きな問題があります。誰かが明らかにあなたのサイトを攻撃し、任意の（PHP）コードを実行する方法を見つけました。注入されたコードが他に何をするかによって、サーバー全体が危険にさらされる可能性があります。あなたのセキュリティプラクティス/意識（あなたが尋ねなければならないほど多すぎないかもしれません）によっては、他のシステムも、侵害されたウェブサーバーから吸い上げられた情報で妥協する可能性があります。これらは考慮すべき事項であり、必ずしもその順序ではなく、リストは決して網羅的ではありません。

1. ウェブサーバーをオフラインにしてください。あなたが他のことをやっていなくても、これをやってください。あなたのサイトで遭遇した無実の人々を守ることです。注入されたコードの全目的は、をマルウェアに感染させることによって攻撃することです。ユーザーにこのサイトが攻撃されたことを知らせ、可能な場合は別のチャンネル（電子メールなど）を介して情報が侵害される可能性があることを知らせます。
2. killすべてのPHPプロセス/ Webサーバープロセスが残っています。
3. （含まれているファイルを削除します（include_once()のコードではありません）。
4. 注入されたコードを削除します。 （include_once()を実行しているコード）
5. 最初にコードがPHPスクリプトにどのように注入されたかを解説します。
6. これらの問題を修正しました。
7. シェルのアクセス権を持つユーザーアカウントのように、攻撃者が戻って同じことをする他の方法はないことを確認してください。
8. もう一度確認してください。あなたのウェブサイトのユーザーによってアップロードされたファイルを実行することを許可します（おそらく、chmod 777のような悪いことをした場合）。
9. また、攻撃者はシステムの置き換えられたバイナリのようなものを、バックドアドバージョンで実行した可能性があります。あるいは、他のバイナリをアップロードして実行しました。または、侵害されたサイトのマルウェアをユーザーに提供します。
10. あなたの攻撃者は、ホスティングプロバイダの管理パネル、シェルアカウント、電子メール、ルートアクセス、またはバックアップ、ソースコードリポジトリにログインするための資格情報を取得しているように、エスカレートしませんでしたか？彼らはあなたが現在気づいていないか、単に戻ってきて管理ツールを使って後であなたの仕事を元に戻すことができるかもしれない他のものを改ざんしているかもしれません。
11. 何が起こったのか、起こったのか、起こったのか、その後に起こったのかを完全に根本的に分析します。これは、システム管理者としてどのように改善するかを学び、今後起こることを避けることができます。しかし、あなたがそれを発見し、再び起こったことの兆候を知らせる助けとなります。 Sysadminは、主にその理由のために24時間365日の仕事です：あなたが物事を設定したとき、あなたはリラックスして移動することはできません。
12. ホスティングプロバイダに注意を促してください。
13. 多分、あなたのOSを完全に拭き取って再インストールしたと考えられ、設定中のセキュリティにもっと注意を払うのがここに行く方法かもしれません。
14. 最終的にクリーンアップして回復したら、既知の正常/正常なバックアップからサイトを再度有効にします。

さらに悪化する可能性があります。貧弱なセキュリティ実践になると、あなたはほとんど/最初の人にはなりません。あなた自身の間違いではなく、ホスティングプロバイダ側のセキュリティが悪いということで、あなたが侵害された可能性があります（そのような便利で便利な管理パネルには、セキュリティバグも含まれていることが知られています）。しかし、物事が立てば、それを邪魔してそこから慎重に進んだのがあなただと仮定します。