PHP文件中注入的病毒代码

我拥有一个运行在LAMP上的网站——Linux、Apache、mySQL和PHP。在过去的2-3周里，我网站上的PHP和jQuery文件受到了来自一个名为gumblar.cn的网站的恶意软件的感染

我无法理解这个恶意软件是如何进入我的PHP文件的，以及如何防止它一次又一次地发生

有什么想法吗

更新：

---

您的站点已被破解，因此破解程序只需替换您的文件即可

每当发布安全警报时，您都应该升级Linux操作系统、Apache、MySQL、PHP和web PHP程序

---

运行开放服务而不定期升级的Linux服务器是internet上最易受攻击的服务器。

就像Francis提到的那样，请让您的托管公司确保其软件是最新的

---

在您这边，尽快将ftp密码更改为完全不清楚的密码。我以前见过这种情况发生在人身上。这些“黑客”所做的是对你的ftp帐户进行暴力攻击，下载几个文件，稍加修改，然后重新上传受感染的副本。如果您有权访问ftp日志文件，您可能会看到从其他IP连接到您的帐户。您可以将此信息提交给您的托管公司，并要求他们将访问其服务器的IP列入黑名单。

这里没有人可以根据您提供的信息提供结论性解决方案，因此我们建议您遵循良好的安全做法和标准，并立即纠正任何弱点

确保您的软件是最新的。很可能通过PHP程序中的漏洞攻击获得对本地文件的访问，因此请保留您正在运行的任何第三方应用程序的最新版本（特别是Wordpress和phpBB等非常广泛的程序），并尽一切可能确保您的服务器运行其服务的正确版本（PHP、Apache等）

使用强密码。强密码是一个长而随机的字符列表。它应该与你的生活无关，它不应该有现成的首字母缩略词或助记符，它不应该像字典里的单词，它应该包含不同字符的健康穿插；数字、不同大小写的字母和符号。它也应该相当长，最好超过26个字符。这将有助于防止人们在足够的时间内粗暴使用您的凭据，以便有能力的系统管理员对攻击者采取行动

与托管提供商的管理员合作，了解在这种特殊情况下发生了什么，并采取措施加以纠正。他们可能没有注意到任何不寻常的事情；例如，如果您有一个简单的密码，或者如果此攻击是由受信任的个人实施的，或者如果您在自定义PHP应用程序中有未修补的漏洞，则没有任何迹象表明使用不当

共享主机也有许多人可以访问同一台本地计算机，因此，文件权限和修补本地可访问漏洞等内容在应用程序内和一般情况下都非常重要。确保您的主机在这方面有良好的策略，并确保您的任何软件都不明确信任本地连接或用户

---

攻击的性质（从一个网站导入的恶意软件似乎会大规模进行此类攻击）表明您正在运行一个可利用的应用程序，或者您的用户名/密码组合不够强，但实际上，您的提供商的管理员是唯一能够提供有关这是如何发生的准确细节的人。祝你好运

该网站（您提到的gumblar.cn）正在进行恶意软件测试。您可以在这里监视结果：

PHP程序实际上是由PHP解释器在服务器上运行的简单文本文件。如果您的应用程序被感染，那么我认为有两种可能性：

1.他们在你的应用程序中使用了一些安全漏洞，将一些代码注入到你的服务器中，所以现在他们更改了你的一些PHP文件，或者你的一些数据库信息

如果是这种情况，您最好仔细检查从用户获取信息的每个地方（文本输入、文件上传、cookie值等等），确保所有内容都经过良好过滤。这是非常常见的安全实践，用于过滤来自用户的任何内容。您还最好确保当前保存在数据库（或文件系统）中的数据是干净的。我建议使用的Zend_过滤器组件来过滤用户输入。有许多功能齐全的过滤器库

2.他们可能在你的服务器上运行了一些程序，这会影响你的PHP源文件。因此，不知何故，他们已经完成了在服务器上运行一些程序/脚本，这将改变您的应用程序

---

如果是这种情况，我建议您检查所有服务器进程，并确保您知道正在运行的每个进程。尽管我认为这不太可能。

很有可能，您的服务器上有一个应用程序存在已知的漏洞，该漏洞已受到攻击，并且有人修改了您网站上的文件或安装了新文件

在gumblar.cn上搜索信息时，他们似乎使用了一个名为JS-Redirector-H的特洛伊木马。不确定这里是否涉及到这一点

修复此问题可能需要从备份中恢复您的网站，如果您无法知道已修改的内容。如果您有源代码管理或最新版本，您可能能够完成整个站点的差异。但是您还需要修复导致这种情况发生的安全漏洞

很可能是某个不安全的应用程序，或者是您不久前安装但最近未更新的应用程序。一些对此表示不满的人提到他们使用了Gallery（即PHP Gallery）。虽然我不确定这是否有联系

如果您不是服务器管理员，请与