我在我们的实时网页中发现了未知代码。我们还注意到,在我们共享的虚拟主机空间上托管的几个网站被神秘地删除了。
我们发现的未知代码以图像格式显示在下面。请更新我们这是什么类型的代码,我们如何避免这些代码被添加到我们的网页中。
问问题
155 次
3 回答
0
看看这是否对您有任何帮助:http: //forum.joomla.org/viewtopic.php?p=2360137
于 2011-03-03T13:32:20.430 回答
0
是的,它看起来像一个与此相同的后门。我认为那是一篇有趣的文章,它介绍了解码过程并介绍了如何清理系统。
于 2011-03-03T21:22:57.317 回答
0
您很可能在您的服务器上的其他地方(甚至在您的用户帐户之外)复制了相同或相似的代码/木马/病毒。请参阅下面的建议 #3。
这看起来很像 RAT,因为它通过调用执行解码的 base64_decode
因为eval(base64_decode( "whole_bunch_of_obfuscated_stuff"));
你没有把那个文件放在那里,所以立即压缩它!
进一步的建议:
- 注意该病毒的创建日期/时间;它将帮助您检测何时/如何被感染。
- 压缩文件而不是删除它,将其从服务器上取下,然后将其发送到dev@thegothicparty.com以进行 RAT 解剖。
- 在您的系统上搜索其他 RAT:
[~] grep -r "base64_decode" .在目录树的最高位置执行 a 。有关详细信息,请参阅下面提到的文章。 - 联系您的提供商。在某些条件下,这样的远程控制工具可以跨用户帐户。
thegothicparty.com 上有一篇专门介绍 RAT 和服务器 RAT 感染的文章。
你可以在这里阅读:http: //thegothicparty.com/dev/article/server-side-virus-rat/
于 2011-10-31T00:26:44.820 回答