任何熟悉 press87.php 文件的人——这是黑客攻击吗?
Anyone familiar with a press87.php file – is this a hack?
我刚刚注意到在我的服务器上安装的 Joomla 中有一个名为 "press87.php" 的奇怪文件,它与任何特定内容都没有关联。它似乎是加密的,并且在互联网上进行搜索时,它似乎出现在许多目录中——包括 WP 安装——但在看似随机的地方。这是黑客攻击吗?有人知道这件事吗?
文件中包含的原始代码可以在http://pastebin.com/J8fe5RP1
查看
干杯!
此代码肯定是恶意的,似乎是带有邮件服务器的后门。
代码通过 base64 和一些字符旋转进行了混淆,但可以很容易地通过将最后一行中的 eval 替换为 print.
来发现
可以在 http://pastebin.com/zyH8axSK
查看未混淆的 PHP 代码
那么,这是什么意思?有人找到了一种在您的网络服务器上放置 PHP 文件的方法,并打算滥用这些文件来发送垃圾邮件。
我猜你的 Joomla 安装本身或某些插件存在安全问题。要再次清洁,您应该:
- 备份您的数据库和(合法的)用户上传的文件,
- 删除 Joomla 安装的 所有 文件(因为现在即使是“真正的” Joomla 文件也可能被感染)。
- 从全新的下载中重新安装 Joomla。与所有插件相同。
- 恢复 Joomla 数据库备份。
- 更改所有 用户密码并删除可疑帐户。
- 重新安装用户上传的文件,但检查每个文件是否存在感染。
做 不 只是删除后门文件并认为你已经完成了,因为如果你不修复允许恶意软件的安全问题,你明天会再次被感染文件上传。
我刚刚注意到在我的服务器上安装的 Joomla 中有一个名为 "press87.php" 的奇怪文件,它与任何特定内容都没有关联。它似乎是加密的,并且在互联网上进行搜索时,它似乎出现在许多目录中——包括 WP 安装——但在看似随机的地方。这是黑客攻击吗?有人知道这件事吗?
文件中包含的原始代码可以在http://pastebin.com/J8fe5RP1
查看干杯!
此代码肯定是恶意的,似乎是带有邮件服务器的后门。
代码通过 base64 和一些字符旋转进行了混淆,但可以很容易地通过将最后一行中的 eval 替换为 print.
可以在 http://pastebin.com/zyH8axSK
查看未混淆的 PHP 代码那么,这是什么意思?有人找到了一种在您的网络服务器上放置 PHP 文件的方法,并打算滥用这些文件来发送垃圾邮件。
我猜你的 Joomla 安装本身或某些插件存在安全问题。要再次清洁,您应该:
- 备份您的数据库和(合法的)用户上传的文件,
- 删除 Joomla 安装的 所有 文件(因为现在即使是“真正的” Joomla 文件也可能被感染)。
- 从全新的下载中重新安装 Joomla。与所有插件相同。
- 恢复 Joomla 数据库备份。
- 更改所有 用户密码并删除可疑帐户。
- 重新安装用户上传的文件,但检查每个文件是否存在感染。
做 不 只是删除后门文件并认为你已经完成了,因为如果你不修复允许恶意软件的安全问题,你明天会再次被感染文件上传。