这是一个恶意的PHP脚本。
它通过混淆技术隐藏其真实意图,利用变量拼接和动态函数调用,例如 ${"\x47\x4c\x4f\x42\x41\x4c\x53"} 是对 GLOBALS 的混淆表示。
脚本使用 curl 或其他HTTP请求工具发送网络请求(CURLOPT_URL),
也尝试操作文件,例如删除、覆盖或注入代码到现有文件中。
其中 "aHR0cHM6Ly56d2tvbm93LmNvbS9hYm91dC5waHA=" 是Base64编码的URL
网站应该赶紧的下线,杀个毒,
是啥系统的站,
windows下,自带杀毒都能识别 你这文件,需要关掉才能下载
5392 发表于 2025-1-10 20:58
这是一个恶意的PHP脚本。
它通过混淆技术隐藏其真实意图,利用变量拼接和动态函数调用,例如 ${"\x47\x4c\x ...
感谢大概20多个网站 大部分都中招了小部分没发现问题
我是老王 发表于 2025-1-10 20:57
这是一个典型的PHP后门木马病毒代码。具有以下特征:
1. 代码高度混淆:使用了大量的数字数组($00800_0 ...
好的 感谢 准备把系统换了感觉是系统的问题
gg66 发表于 2025-1-10 21:44
好的 感谢 准备把系统换了感觉是系统的问题
你什么系统 大哥求避雷不会是WINDOWS吧??
dx459630 发表于 2025-1-10 22:09
你什么系统 大哥求避雷不会是WINDOWS吧??
宝塔 网站系统是wp,可能是我用的盗版宝塔的问题我写在最前面了
纳尼,新站也用了他家的宝塔开心版。这样我再想重装了
本帖最后由 Edisen 于 2025-1-11 18:43 编辑
我看看怎么个事
https://urldown.lanzouw.com/ierGQ2kmfstc
纯木马.
https://51la.zvo2.xyz/ - 主要木马下载服务器
https://mynameiswanwan.com/about.php?520 - Shell链接
https://c.zvo1.xyz/ - 备用控制服务器1
https://c2.icw7.com/ - 备用控制服务器2
45.11.57.159 - 备用控制服务器3
Edisen 发表于 2025-1-11 18:58
https://urldown.lanzouw.com/ierGQ2kmfstc
纯木马.
就是我上传的那个代码文件 好多网站都有,这个能说明是从服务器入侵的还是从wp的什么插件开始入侵的吗 我用的破解版宝塔 准备换正版了
