index.php被挂上黑链 求原因及防治方案

158sy

CI版本2.1.3
运行环境：Windows +php5.3 +appach+mysql
今天早上发现自己的网站（名字不说了 免得有作推广的嫌疑） 哪不对劲，刚开始是验证码显示不出来，左找右找没发现问题，本地的运行一切正常。然后我把本地的文件ftp覆盖上去还是不行。后来在右键首页的源代码发现最上面有一个隐藏的div层
<div style="display:none;">xxxx<a href="黑链">ooo</a></div>
（删了我也记不清具体 大概就是这样子）
后来发现每个页面都有，我就去看我的通用header-view 结果没发现异常，最后在CI根目录下的index.php里发现了那段代码:
<div style="display:none;">xxxx<a href="黑链">ooo</a></div>
<?php
        define('ENVIRONMENT', 'development');
       if (defined('ENVIRONMENT'))
     {
        switch (ENVIRONMENT)
        {
.....
?>


我目前是把那段代码删了之后 把index.php设为了只读属性
找不到原因，也不知道他是怎么做到的，希望大家帮帮忙 看是怎么个情况，应该怎么防范

我用360那个扫描我的站貌似没什么大的安全问题：
安全得分：99分安全级别安全

安全等级打败了全国80%的网站！特此授予您五星神站称号！

158sy

补充一点 。在这台服务器上 有4个CI内核的站 都被挂了黑链（都是我的站）。其他的非CI的站是没问题的

Hex

看起来像是被挂了网站木马，看看上传文件的地方是否做了严格限制。
一般这个都是通过上传文件途径黑的网站。

kuailewang

你公布一下你的网站地址，让大家诊断，既然不敢公布说明自己没有安全把握，既然没有安全感，那更要这么做了，真金不把火炼，即可以提高自己ci安全防范技术，同时大家也可以学到很多知识

smartweb

有时是服务器的原因，如果是自己的服务器，你随便建个网站放个html文件上去，也一样的

158sy

kuailewang 发表于 2013-6-9 10:16
你公布一下你的网站地址，让大家诊断，既然不敢公布说明自己没有安全把握，既然没有安全感，那更要这么做了 ...

不是怕  不是说了 怕人家以为我这是做推广呢  
既然你这么说了 我就发出来 都是做这行的 没啥怕不怕的
www.158nongyao.com
www.158code.com
愿意的话 帮看看 谢了

燃雲

免费看病开方？

要防止黑客入侵，属专业服务，免费帮忙，我提供不了太多！


看农药网，似曾见过。翻查在

http://code.google.com/p/my-code ... /%20nongyao/nongyao

简单快速看一下文件，保安漏洞是有的。有兴趣的朋友可参看源码，作为个案研究。

158sy

燃雲 发表于 2013-6-15 08:10
免费看病开方？

要防止黑客入侵，属专业服务，免费帮忙，我提供不了太多！

擦 这个是我农药的第一个版本。。。

kuailewang

158sy 发表于 2013-6-13 08:59
不是怕  不是说了 怕人家以为我这是做推广呢  
既然你这么说了 我就发出来 都是做这行的 没啥怕不怕的
ww ...

本人是菜鸟，针对ci说几个点，路过的大侠多多指教！！

引用 @hex的话

“看起来像是被挂了网站木马，看看上传文件的地方是否做了严格限制。
一般这个都是通过上传文件途径黑的网站。”

还有这些安全，都要把持好！

xss 表单方面
$this->input->post($f,TRUE);
$this->input->post(NULL,TRUE);

数据库方面的
$this->db->escape() 或者 $this->db->escape_str()

参考：http://codeigniter.org.cn/user_guide/database/queries.html