重複の可能性あり:
私のサーバーがハッキングされました 緊急
私のサイトがハッキングされたようです。ホスト上の他のサイトもハッキングされました。サイトの下部に行くと、iframe が表示されます。それが何なのかわかりませんが、そこにはないはずです。
サイトからすべてのコードを削除しましたが、まだ残っています。
誰かが auto_append を追加したのではないかと思い、htaccess をチェックしました。何もありませんでした。
サイトの下部に何かを追加できる他の方法について何かヒントはありますか?
現在、確認のためにいくつかのログ ファイルをダウンロードしています。
答え1
まず最初にすべきことは、ホスティング会社に通知することです。ホスティング会社は、あなたがアクセスできないログを確認できるようになります。
次に、Wordpress をご利用のようですね。次の点を確認してください:
-Wordpress が最新であるかどうか確認する
-Wordpress プラグインがすべて最新であるかどうか確認する
上記のいずれかが最新でない場合は、実行しているバージョンに既知の脆弱性があるかどうかを確認する必要があります。(ソフトウェアのサイトなどを確認してください)
ウェブルートを調べて、不適切な場所にあるファイルを探します。一時ディレクトリも必ず調べてください。
悪質なハッキングであることが判明した場合は、既知の正常なバックアップから復元する必要があります。
これで正しい方向に進むことができるはずです。
**編集: XTZ の回答は無視してください。不正確であることは言うまでもなく、反動的で危険です。
答え2
編集できればphp.ini、すべての PHP ページにフッターを追加できると思います (もちろん、自分のコードでは表示されません)。ファイルを作成してtest.php、それでも発生するかどうかを確認してください。
答え3
問題のサイトにアクセスすると、次のようなトロイの木馬をインストールしようとしました。
http://www.martinsecurity.net/2008/09/04/analyzing-a-malicious-pdf-trojpdfjs-a/
JavaScript で悪意のある PDF ファイルをロードします。コードを見ると、これも非常に似ています。コンピューターをロックダウンしていない限り、おそらく回避する必要があります。解決策としては、Anapologetos が言ったように、ホスティング会社に連絡することが重要な最初のステップになると思います。
答え4
ページ ソース内の HTML 終了タグの後にある JavaScript コードは何ですか?
また、メタ タグ ( ) として表示されるため、ページ ソースから WordPress のバージョンを隠す拡張機能も取得します<meta name="generator" content="WordPress 2.7.1" />。たとえば、"WordPress 2.7.1" (現在のバージョンです :claps:) を実行していることがわかりますが、そのためのエクスプロイトが見つかると、人々はそれを検索できるようになります。
また、WordPress インストールで使用される他のファイルも確認してください。他のファイルから include および require (PHP ベースなのでページ ソースには表示されません) できることはわかっています。また、拡張機能/テーマでもできることがわかっているので、それらが最新であることを確認してください。
また、どの拡張機能とテーマがインストール/有効化されているかを確認し、不明なものは削除してください。