가능한 중복:
내 서버가 해킹당했습니다. 긴급 상황
방금 내 사이트가 해킹당한 것을 발견했습니다. 내 호스트의 다른 두 사이트와 함께. 사이트 하단으로 이동하면 iframe이 표시됩니다. 그게 뭔지 모르겠어요. 거기 있어서는 안 돼요.
내 사이트에서 모든 코드를 삭제했는데 여전히 그대로 있습니다.
누군가가 auto_append를 추가했을 수도 있다고 생각하여 htaccess를 확인했습니다. 아무것도 아님.
내 사이트 하단에 다른 항목을 추가할 수 있는 방법에 대한 단서가 있습니까?
현재 살펴보기 위해 일부 로그 파일을 다운로드하고 있습니다.
답변1
가장 먼저 해야 할 일은 호스팅 회사에 알리는 것입니다. 그들은 귀하가 액세스할 수 없는 로그를 볼 수 있습니다.
둘째: Wordpress를 사용하고 계시군요. 당신은 다음을 수행해야 합니다:
-Wordpress가 up2date인지 확인하고 확인하십시오
. -모든 Wordpress 플러그인도 up2date인지 확인하고 확인하십시오.
위 항목 중 up2date가 아닌 경우 실행 중인 버전에 알려진 취약점이 있는지 확인하고 확인해야 합니다. (소프트웨어 사이트 등을 확인하세요)
웹루트를 탐색하여 잘못된 파일을 찾으세요. 임시 디렉토리도 살펴보세요.
악의적인 해킹으로 판명되면 알려진 양호한 백업에서 복원하는 것이 좋습니다.
이렇게 하면 올바른 방향으로 시작할 수 있습니다.
**편집: XTZ의 답변을 무시하거나 엄지손가락을 아래로 내리세요. 그것은 부정확할 뿐만 아니라 반동적이고 위험합니다.
답변2
만약 그들이 편집할 수 있었다면 php.ini, 나는 그들이 모든 PHP 페이지에 바닥글을 추가할 수 있을 것이라고 믿습니다(분명히 여러분의 코드에서는 볼 수 없을 것입니다). 파일을 만들어서 test.php계속 발생하는지 확인하세요.
답변3
문제의 사이트로 가서 다음과 같은 트로이 목마를 설치하려고 했습니다.
http://www.martinsecurity.net/2008/09/04/analyzing-a-malicious-pdf-trojpdfjs-a/
JavaScript를 사용하여 악성 PDF 파일을 로드합니다. 코드를 보면 매우 유사해 보입니다. 컴퓨터를 잠그지 않는 한 피해야 할 것입니다. 솔루션에 관해서는 Anapologetos가 말했듯이 호스팅 회사에 문의하는 것이 필수적인 첫 번째 단계가 될 것이라고 생각합니다.
답변4
닫는 HTML 태그 뒤에 있는 페이지 소스의 JavaScript 코드는 무엇입니까?
또한 WordPress 버전을 메타 태그( )로 표시하므로 페이지 소스에서 WordPress 버전을 숨기는 확장 프로그램을 얻을 수 있습니다. <meta name="generator" content="WordPress 2.7.1" />예를 들어 "WordPress 2.7.1"(현재 버전)을 실행하고 있는 것을 볼 수 있습니다. :) 그러나 일단 이에 대한 익스플로잇이 발견되면 사람들은 그것을 검색할 수 있을 것입니다.
WordPress 설치에서 사용하는 다른 파일도 확인하세요. 나는 그것이 다른 파일로부터 포함되고 요구될 수 있다는 것을 알고 있습니다(PHP 기반이기 때문에 페이지 소스에 표시되지 않을 것입니다). 그리고 확장/테마도 그렇게 할 수 있다는 것을 알고 있으므로 그것들이 최신인지 확인하십시오.
또한 어떤 확장 프로그램과 테마가 설치/활성화되어 있는지 확인하고 모르는 것은 제거하세요.