PHP + attack感染--攻击矢量是什么？

Question

当我今天回家的时候，我发现我所有的PHP文件都被Godaddy主机感染了。在所有文件的开头插入了以下代码：

/**/ eval(base64_decode("aWYoZnVuY3....")

根据日志，受感染的代码无法运行：

eval()d代码行1: gzinflate() function.gzinflate:数据错误

不过，我想防止这种情况再次发生，但我不知道他们是怎么来的。我有一个FTP访问(没有SFTP)，所以理论上他们能够嗅探出密码，但可能有一个更简单的解释。

他们也可以利用Godaddy的设置中的不安全因素，但在这种情况下，我不能做任何事情来阻止它。

在我的PHP代码或配置中是否存在一个典型的错误，可以像这样对php文件进行黑客攻击？

Answer 1

原因似乎是我包含了一个php文件，它的名称来自一个url参数，并且他们在参数中提供了自己的脚本。

我认为它是安全的，因为它在形式上

要求“数据/$param”；

所以我假设它只能是一个他们不能修改的本地包含。看起来他们给出了一个$param值的URL，它指向一个包含攻击代码的外部php文件。我不确定URL是如何与前面的数据/部分正确解析的，但这似乎是最有可能的解释。

有人知道在这种情况下URL是如何处理的吗？

Answer 2

在我的PHP代码或配置中是否存在一个典型的错误，从而可以像这样对php文件进行黑客攻击？

可能会有一堆垃圾。但最有可能的是，您的FTP登录/密码被盗:清洁您的PC，使用sFTP和更改您的密码为安全的东西。

Answer 3

在我的PHP代码或配置中是否存在一个典型的错误，从而可以像这样对php文件进行黑客攻击？

是的，它可能是--但如果不检查每一行代码，就像最初部署的那样，它很难分辨。请注意，为了重新编写代码，除了找到后门之外，文件还必须由运行的进程的uid写。如果后门是您的代码中的一个漏洞，那么，根据定义，GoDaddy的设置有问题，允许webserver uid对您的文件拥有写权限。

但祝他们能修好它。

当然，攻击者可能是通过另一条路线进入的。

结果表明，C.