Я знаю, что было много подобных вопросов, но ни один из них не касался этого конкретного вопроса:
Я обнаружил почти все файлы PHP на клиентских серверных инъекциях скриптов, на самом деле это был упомянутый здесь скрипт: https://stackoverflow.com/questions/20658823/hacked-site-encrypted-code.
Теперь я знаю, что трудно определить точку входа, но есть несколько фактов, которые, я уверен, могут иметь смысл для кого-то более подходящего, чем я.
СИТУАЦИЯ
Заражены почти все файлы PHP
В ней была папка с зараженными файлами, но у нее не было НИКАКИХ разрешений для пользователя FTP, которые я использую для загрузки файлов на сервер.
Были заражены даже файлы, которые не доступны для общего просмотра или не индексируются Google.
в неиндексированной папке одни файлы были заражены, а другие нет. Те, кто не был инфицирован, скорее всего, никогда или очень редко вызывались кем-либо.
ВОПРОС
Принимая во внимание вышеупомянутые факты, вероятно, был скомпрометирован весь сервер (apache, ...) или это, скорее всего, просто небезопасный скрипт PHP. Можно ли было бы увидеть такой сценарий, если бы злоупотребляли только PHP-скриптом?
Достаточно ли сейчас просто обновить скрипты PHP, удалить код вируса и надеяться, что сам сервер не скомпрометирован? (конечно, изменение учетных данных SFTP)
РЕДАКТИРОВАТЬ: КОММЕНТАРИИ ОБ ЭТОМ ДУБЛИКЕ
Как я уже сказал, я ДЕЙСТВИТЕЛЬНО прочитал другие сообщения, мне НЕ нужно знать, что делать, мне просто интересно, какие файлы PHP изменяются внутри папки, которая НЕ доступна для записи пользователем FTP и если это возможно с помощью эксплойта PHP script / MYSQL или только если у злоумышленника был FTP-доступ или более глубокий доступ к серверу.
PHP-файл на сервере может содержать уязвимость, записанную в коде. Одним из таких примеров может быть код, который принимает вводимые пользователем данные и не выполняет никаких проверок правильности ввода.
Обычно боты находят этот тип кода и проверяют, может ли он его использовать. Затем вирус будет копировать себя во все файлы PHP, которые сможет найти.
Для доступа к файлам, скажем, через FTP, не требуется аутентификация, поскольку сам эксплойт обходит любую необходимую аутентификацию.
Единственное, что может быть разумно выведено из того факта, что файлы были изменены в каталоге, к которому не разрешен доступ по FTP, - это то, что они не были изменены с помощью FTP.
Это означает, что на сервере было скомпрометировано что-то еще, кроме FTP.
Значит, ты должен быть еще более нетерпеливый уничтожить его как можно скорее.