Php 魔鬼外壳代码注入我的网站

我在寻求一些建议-我希望有人能帮助我

我的php网站遭到黑客攻击，我刚刚发现了这段代码“Devil Shell编码的脚本”：

eval(gzinflate(base64_decode($encoded)))

所有这些随机的字母/数字

我有几个问题：

• 如果我删除此代码会发生什么？它会产生连锁反应吗
• 我的网站毁了吗
• 有什么可以做的吗

---

谢谢你的帮助。

这看起来像是一个后门——我建议你把它评论一下

---

只要$encoded是一个可以在外部设置的变量（例如通过HTTP GET或POST），任何人都可以在您的服务器上执行任何代码。

将其解压缩以查看其功能。确保它无法执行。理解它所造成的损害

---

查找您的安全漏洞

如果这是PHP代码，那是相当严重的，因为他们能够附加到PHP文件或添加他们的PHP恶意文件。他们基本上拥有服务器。除了一般建议（修复您的安全性，这可能需要一年的工作：））之外，还有一些现实生活中的提示：

• 不要删除日志、应用程序日志或web服务器或数据库日志；保留它们，不太可能有人在那里注入任何坏东西（除了字符串）。收集并保存所有日志，相信我，如果有不好的事情发生，这些日志在将来会很有用
• 他们可能会用这样的攻击破坏整个服务器。你需要小心你的托管公司：他们可以考虑你在其他人的数据，配置等数据泄露负责。这取决于他们的配置以及您与他们签订的协议
• 不考虑任何安全性：DB也可能受到损害，从现在起，所有的密钥和密码、密码和会话ID都是不安全的，现在掌握在它们手中。所以把它们全部替换掉，因为它们的目标可能不是你，而是你的用户，而且它们现在也完全可以控制它们的浏览器（如果它们愿意的话）
• 你可以说出来，这似乎足够安全；但他们会以更微妙的形式再次添加它。考虑一下。
• 检查（如果可以）网站的流量。通常，他们会构建简单的网络地狱，作为更大僵尸网络的一部分。通常，它们用于分布式拒绝服务（DDOS）、比特币挖掘或流量交换。因此，您可能会被视为对此类攻击/非法行为负有法律责任，因为这些攻击/非法行为与您的帐户有关，并且托管合同是您的

---

在互联网上，这个主题被称为“入侵响应”或“攻击响应”。它通常只为大企业量身定做，所以我怀疑你能找到什么有用的东西，但至少在理论上，它可能有助于谷歌，因为你的网站已经被黑客入侵了。你应该立即删除它，然后修复让它进入的安全漏洞。最安全的答案是通知你的托管公司，这样他们就可以调查是否有任何其他客户端（在同一台服务器上或不在同一台服务器上）受到影响，然后从已知的良好备份中恢复你拥有的一切。你有备份，对吗？