我刚刚注意到一个名为“press87.php”的服务器上的Joomla安装的一个奇怪的文件,它与任何特别的东西都没有关联。它似乎被加密,并在interweb上进行搜索,似乎在许多目录中显示 - 包括WP安装 - 但看似随机的地方。这是黑客吗?有人对这个有了解吗?任何熟悉press87.php文件的人 - 这是黑客吗?
文件中包含的原代码可以在http://pastebin.com/J8fe5RP1
干杯查看!
我刚刚注意到一个名为“press87.php”的服务器上的Joomla安装的一个奇怪的文件,它与任何特别的东西都没有关联。它似乎被加密,并在interweb上进行搜索,似乎在许多目录中显示 - 包括WP安装 - 但看似随机的地方。这是黑客吗?有人对这个有了解吗?任何熟悉press87.php文件的人 - 这是黑客吗?
文件中包含的原代码可以在http://pastebin.com/J8fe5RP1
干杯查看!
这段代码肯定是恶意的,并且似乎是一个带有邮件服务器的后门。
该代码通过base64和某些字符旋转进行了模糊处理,但通过用print
代替最后一行中的eval
,可以很容易地发现该代码。
的未经模糊处理的PHP代码可以在http://pastebin.com/zyH8axSK
所以观看,这是什么意思?有人找到了一种方法将PHP文件放在您的网络服务器上,并打算滥用垃圾邮件。
我猜想你的Joomla安装本身或某个插件存在安全问题。要重新弄干净,你应该:
做不只是删除后门文件,并认为你做,因为你会被感染,明天再次,如果你不解决,允许恶意文件上传的安全性问题。
感谢您对此进行调查并提供建议,lxg!我一定会开始新鲜。 – fp93
这确实不是不可能的,这是一个后门或类似的东西。谨慎发布代码? – lxg
呃...不。我将*不*下载一些带有可疑内容的zip文件。如果代码量太大,请将其发布到一些pastebin。 – lxg
对不起,完全明白。试试这个 - > [链接] http://pastebin.com/J8fe5RP1 – fp93