Неизвестный код на веб-страницах
Я нахожу неизвестный код в наших живых веб-страницах. Мы также заметили, что несколько сайтов, размещенных на нашем общем веб-хостинге, таинственным образом удаляются.
Найденный нами неизвестный код отображается ниже в формате изображения. Пожалуйста, сообщите нам, что это за код и как мы можем избежать его добавления на наши веб-страницы.
3 ответа
Да, это похоже на черный ход, идентичный этому. Я думаю, что это интересный пост, в нем рассказывается о процессе его расшифровки и о том, как очистить вашу систему.
Посмотрите, поможет ли это вам: http://forum.joomla.org/viewtopic.php?p=2360137
Скорее всего, у вас есть такой же или похожий код / троян / вирус, дублированный в другом месте на вашем сервере, даже вне вашей учетной записи пользователя. Смотрите совет № 3 ниже.
Это подозрительно похоже на RAT, так как он выполняет декодированный base64_decode, вызывая eval(base64_decode( "whole_bunch_of_obfuscated_stuff")); Поскольку вы не поместили этот файл туда, сразу же заархивируйте его!
Дальнейший совет:
- Обратите внимание на дату / время создания этого вируса; это поможет вам определить, когда / как вы заразились.
- Вместо того, чтобы удалять файл, архивируйте его, снимите с сервера и отправьте на dev@thegothicparty.com для изучения RAT.
- Поиск других RAT в вашей системе: выполнить
[~] grep -r "base64_decode" .как можно выше дерева каталогов. Смотрите статью, упомянутую ниже, для более подробной информации. - Свяжитесь с вашим провайдером. При определенных условиях такой инструмент дистанционного управления может пересекать учетные записи пользователей.
Статья, посвященная RAT и Server RAT-инфекции, находится на thegothicparty.com.
Вы можете прочитать это здесь: http://thegothicparty.com/dev/article/server-side-virus-rat/