gg66 发表于 2025-1-10 20:14:36

【求助】大佬帮我看看这是什么新型病毒

网站提示Fatal error: Array and string offset access syntax with curly braces is no longer supported in /www/wwwroot/域名/wordpress/index.php on line 2后台可以进去 首页报错 下面是宝塔index文件贴补<br />
<img id="aimg_iSDS8" onclick="zoom(this, this.src, 0, 0, 0)" class="zoom" src="https://free-img.400040.xyz/4/2025/01/10/67810b9d19341.png" onmouseover="img_onmouseoverfunc(this)" onload="thumbImg(this)" border="0" alt="" /><br />
<br />
我把代码复制到本地txt文本直接被电脑识别然后删掉了,改成了php文件 <br />
上传格式是7z的下载之后改成php就可以查看代码 不改后缀不让我上传 下面是代码文件<br />
https://wwhk.lanzoub.com/iZWuU2kjnh1i<br />
<br />
宝塔版本是这个https://baota.sbs/

5392 发表于 2025-1-10 20:58:23

这是一个恶意的PHP脚本。<br />
它通过混淆技术隐藏其真实意图,利用变量拼接和动态函数调用,例如 ${&quot;\x47\x4c\x4f\x42\x41\x4c\x53&quot;} 是对 GLOBALS 的混淆表示。<br />
脚本使用 curl 或其他HTTP请求工具发送网络请求(CURLOPT_URL),<br />
也尝试操作文件,例如删除、覆盖或注入代码到现有文件中。<br />
其中 &quot;aHR0cHM6Ly56d2tvbm93LmNvbS9hYm91dC5waHA=&quot; 是Base64编码的URL <br />
<br />
网站应该赶紧的下线,杀个毒,<br />
<br />
是啥系统的站,<br />
<br />
<br />

gg66 发表于 2025-1-10 20:20:04

<img id="aimg_qwZKv" onclick="zoom(this, this.src, 0, 0, 0)" class="zoom" src="https://free-img.400040.xyz/4/2025/01/10/678110488c169.png" onmouseover="img_onmouseoverfunc(this)" onload="thumbImg(this)" border="0" alt="" /><br />
这是第二种病毒的贴图

midori 发表于 2025-1-10 20:29:17

虽然不太懂,报错原因可能是php版本不对的问题

gg66 发表于 2025-1-10 20:41:27

<div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=16182263&ptid=1381806" target="_blank"><font color="#999999">midori 发表于 2025-1-10 20:29</font></a></font><br />
虽然不太懂,报错原因可能是php版本不对的问题</blockquote></div><br />
额 我不是都找到代码了吗咋还php问题,你查百度了?

饕餮 发表于 2025-1-10 20:29:00

有沒有可能是宝塔破解版问题<img src="https://hostloc.com/static/image/smiley/default/lol.gif" smilieid="12" border="0" alt="" /><img src="https://hostloc.com/static/image/smiley/default/lol.gif" smilieid="12" border="0" alt="" />

gg66 发表于 2025-1-10 20:42:56

<div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=16182282&ptid=1381806" target="_blank"><font color="#999999">饕餮 发表于 2025-1-10 20:42</font></a></font><br />
有沒有可能是宝塔破解版问题</blockquote></div><br />
所以我特意写出来了 也是一种避雷吧

kpxyyyy 发表于 2025-1-10 20:47:34

<div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=16182279&ptid=1381806" target="_blank"><font color="#999999">gg66 发表于 2025-1-10 20:41</font></a></font><br />
额 我不是都找到代码了吗咋还php问题,你查百度了?</blockquote></div><br />
就是php版本问题,语法不兼容.

gg66 发表于 2025-1-10 20:42:00

<div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=16182299&ptid=1381806" target="_blank"><font color="#999999">kpxyyyy 发表于 2025-1-10 20:48</font></a></font><br />
就是php版本问题,语法不兼容.</blockquote></div><br />
你不看贴图吗

我是老王 发表于 2025-1-10 20:48:18

<div class="quote"><blockquote><font size="2"><a href="https://hostloc.com/forum.php?mod=redirect&goto=findpost&pid=16182302&ptid=1381806" target="_blank"><font color="#999999">gg66 发表于 2025-1-10 20:49</font></a></font><br />
你不看贴图吗</blockquote></div><br />
<br />
综合来看,这段代码很可能在做以下事情:<br />
<br />
从远程服务器下载或获取某些内容: 通过 curl 函数连接到远程服务器。<br />
在本地服务器写入或修改文件: 使用 file_put_contents 函数写入文件,文件名可能是 index.php。<br />
可能尝试删除某些文件: 使用 unlink 函数删除文件。<br />
执行某些恶意操作: 具体操作需要进一步解码和分析,但结合以上几点,很可能涉及到 WebShell 植入、后门安装、恶意代码注入等。<br />
结论:<br />
<br />
这段代码很可能是一个病毒或恶意脚本。强烈建议不要执行这段代码,并立即采取安全措施,例如:<br />
<br />
检查服务器是否存在异常文件。<br />
扫描服务器是否存在其他安全漏洞。<br />
更改所有相关的密码(FTP,数据库等)。<br />
恢复到已知安全的备份(如果可能)。
页: [1] 2
查看完整版本: 【求助】大佬帮我看看这是什么新型病毒