我刚注意到我的服务器上名为“press87.php”的Joomla安装上的一个奇怪文件,它与任何特定内容都没有关联。它似乎是加密的,并且在interweb上进行搜索,它似乎出现在许多目录中 - 包括WP安装 - 但在看似随机的地方。这是一个黑客?有谁知道这个?
可以在http://pastebin.com/J8fe5RP1
查看文件中包含的原始代码干杯!
答案 0 :(得分:2)
此代码绝对是恶意代码,似乎是邮件服务器的后门。
代码通过base64和一些字符轮换进行模糊处理,但通过用eval替换最后一行中的print,可以很容易地发现代码。
可以在http://pastebin.com/zyH8axSK
查看未混淆的PHP代码那么,这是什么意思?有人找到了一种方法将PHP文件放在您的网络服务器上,并打算滥用垃圾邮件。
我猜想你的Joomla安装本身或者某个插件存在安全问题。要再次保持清洁,你应该:
不只删除后门文件并认为你已经完成了,因为如果你没有解决允许恶意文件上传的安全问题,你明天就会被感染。