熟悉press87.php文件的任何人–；这是黑客吗？

我刚刚注意到在我的服务器上Joomla安装的名为“press87.php”的文件中有一个奇怪的文件，它与任何特定内容都没有关联。它似乎是加密的，在互联网上搜索时，它似乎出现在许多目录中——包括WP安装——但似乎是随机出现的。这是黑客吗？有人知道这件事吗

文件中包含的原始代码可在以下位置查看：

---

干杯

此代码绝对是恶意的，似乎是邮件服务器的后门

通过base64和一些字符旋转，代码会变得模糊，但如果将最后一行中的

eval

替换为

print

，代码很容易被发现

未混淆的PHP代码可在以下位置查看：

那么，这意味着什么？有人发现了一种将PHP文件放在Web服务器上的方法，并打算滥用它来进行垃圾邮件

我猜Joomla安装本身或某个插件存在安全问题。要重新清洁，您应该：

• 备份您的数据库和（合法）用户上载的文件
• 删除Joomla安装的所有文件（因为即使是“真正的”Joomla文件现在也可能被感染）
• 从新下载重新安装Joomla。所有插件都一样
• 恢复Joomla数据库备份
• 更改所有用户密码并删除可疑帐户
• 重新安装用户上传的文件，但检查每个文件是否存在感染

---

不要只删除后门文件就认为你已经完成了，因为如果你不解决允许恶意文件上传的安全问题，你明天就会再次受到感染。

这确实不太可能是后门或类似的事情。想发布代码吗？嗯…不。我不会下载内容有问题的zip文件。如果代码量如此之大，请将其发布到某个粘贴箱。对不起，完全理解。试试这个-->[link]我建议您也更改所有管理员密码和任何ftp密码。基本上，假设你所有的“控制”密码都被泄露了。谢谢你的建议，ryan。我一定会改变一切！感谢您对此进行调查并提供建议，lxg！我一定会重新开始。