后门：PHP/webshell 恶意软件

Question

我想更换这个网站，因为它已经过时了，我们制作了一个新网站。但在将新网站上传到实时环境之前，我一如既往地备份了当前的实时网站。当我下载 Wordpress 安装时，我的 windows defender 弹出以下消息。发现恶意软件：

Backdoor:PHP/webshell

这到底是什么？它对我的电脑有危险还是网站的后门。这怎么发生的。在这件事上，任何事情都会真正有帮助。我应该 运行 对我的整个计算机进行扫描吗？

提前致谢。

Answer 1

后门：PHP/WebShell.A 掉落以下文件：

<root folder>/tmp/bp.pl - used to listen for shell commands
<root folder>/tmp/bc.pl - used to send shell commands

发送电子邮件

后门：PHP/WebShell.A 发送一封包含您的 IP 地址的电子邮件并将其安装报告给 Yahoo!帐户 "freedom20900".

允许后门访问和控制

后门：PHP/WebShell.A 可以为恶意黑客提供执行以下操作的权限：

Archive or extract files
Brute-force logins for FTP, MySQL, pgsql
Create or delete folders
Download files
Encode or decode files
Open a bash shell command, which allows the remote attacker to execute remote commands
Open files
Rename files
Run SQL commands
Search folders
Show active connections
Show computers the infected computer had access to
Show running services
Show user accounts
Show IP configuration

连接到某些服务器

后门：PHP/WebShell.A 连接到以下服务器，目的是接收恶意黑客发送的关于您的 PC 的任意信息：

crackfor.me
hashcracking.info
hashcracking.ru
md5.rednoize.com
www.hashcrack.com
www.md5decrypter.com
www.milw0rm.com

正常来说

您的网站已被黑客入侵，并且可能以某种方式被操纵，如果您尝试使用它，将会有风险。不要使用此来源并从您的机器中删除/删除。我建议对任何更多潜在病毒进行主要浏览/扫描，并更改您的用户信息，例如服务器上的密码和电子邮件（因为他们现在可能知道这些）。

参考：https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Backdoor:PHP/WebShell.A