全球主机交流论坛

标题: 【求助】大佬帮我看看这是什么新型病毒 [打印本页]

作者: gg66 时间: 2025-1-10 20:14
标题: 【求助】大佬帮我看看这是什么新型病毒
网站提示Fatal error: Array and string offset access syntax with curly braces is no longer supported in /www/wwwroot/域名/wordpress/index.php on line 2 后台可以进去首页报错下面是宝塔index文件贴补

我把代码复制到本地txt文本直接被电脑识别然后删掉了，改成了php文件
上传格式是7z的下载之后改成php就可以查看代码不改后缀不让我上传下面是代码文件
https://wwhk.lanzoub.com/iZWuU2kjnh1i

宝塔版本是这个https://baota.sbs/

作者: gg66 时间: 2025-1-10 20:20

这是第二种病毒的贴图

作者: midori 时间: 2025-1-10 20:29
虽然不太懂，报错原因可能是php版本不对的问题

作者: gg66 时间: 2025-1-10 20:41

midori 发表于 2025-1-10 20:29
虽然不太懂，报错原因可能是php版本不对的问题

额我不是都找到代码了吗咋还php问题，你查百度了？

作者: 饕餮 时间: 2025-1-10 20:42
有沒有可能是宝塔破解版问题

作者: gg66 时间: 2025-1-10 20:47

饕餮发表于 2025-1-10 20:42
有沒有可能是宝塔破解版问题

所以我特意写出来了也是一种避雷吧

作者: kpxyyyy 时间: 2025-1-10 20:48

gg66 发表于 2025-1-10 20:41
额我不是都找到代码了吗咋还php问题，你查百度了？

就是php版本问题，语法不兼容.

作者: gg66 时间: 2025-1-10 20:49

kpxyyyy 发表于 2025-1-10 20:48
就是php版本问题，语法不兼容.

你不看贴图吗

作者: 我是老王 时间: 2025-1-10 20:54

gg66 发表于 2025-1-10 20:49
你不看贴图吗

综合来看，这段代码很可能在做以下事情：

从远程服务器下载或获取某些内容: 通过 curl 函数连接到远程服务器。
在本地服务器写入或修改文件: 使用 file_put_contents 函数写入文件，文件名可能是 index.php。
可能尝试删除某些文件: 使用 unlink 函数删除文件。
执行某些恶意操作: 具体操作需要进一步解码和分析，但结合以上几点，很可能涉及到 WebShell 植入、后门安装、恶意代码注入等。
结论：

这段代码很可能是一个病毒或恶意脚本。强烈建议不要执行这段代码，并立即采取安全措施，例如：

检查服务器是否存在异常文件。
扫描服务器是否存在其他安全漏洞。
更改所有相关的密码（FTP，数据库等）。
恢复到已知安全的备份（如果可能）。

作者: 我是老王 时间: 2025-1-10 20:57

gg66 发表于 2025-1-10 20:49
你不看贴图吗

这是一个典型的PHP后门木马病毒代码。具有以下特征：

1. 代码高度混淆：使用了大量的数字数组（$00800_0_0）和十六进制编码来隐藏真实代码内容。

2. 使用urldecode函数：试图解码隐藏的恶意payload。

3. 可疑的函数调用：
- 包含curl相关操作，可能用于远程连接
- 使用die()函数处理执行结果
- 包含文件操作相关代码

4. 特征字符串：包含了一些典型的webshell特征字符串和加密字符串

这类代码通常用于：
- 远程控制服务器
- 执行任意命令
- 窃取敏感信息
- 作为跳板攻击其他服务器

建议：
1. 立即删除这个文件
2. 检查服务器是否还有其他可疑文件
3. 检查服务器日志，查看是否有异常访问
4. 更新服务器安全设置，加强访问控制
5. 考虑重置受影响的账户密码

这种木马通常通过网站漏洞、弱密码等方式被植入，建议全面检查服务器安全状况。

作者: 5392 时间: 2025-1-10 20:58
这是一个恶意的PHP脚本。
它通过混淆技术隐藏其真实意图，利用变量拼接和动态函数调用，例如 ${"\x47\x4c\x4f\x42\x41\x4c\x53"} 是对 GLOBALS 的混淆表示。
脚本使用 curl 或其他HTTP请求工具发送网络请求（CURLOPT_URL），
也尝试操作文件，例如删除、覆盖或注入代码到现有文件中。
其中 "aHR0cHM6Ly56d2tvbm93LmNvbS9hYm91dC5waHA=" 是Base64编码的URL

网站应该赶紧的下线，杀个毒，

是啥系统的站，

作者: 5392 时间: 2025-1-10 20:59
windows下，自带杀毒都能识别你这文件，需要关掉才能下载

作者: gg66 时间: 2025-1-10 21:40

5392 发表于 2025-1-10 20:58
这是一个恶意的PHP脚本。
它通过混淆技术隐藏其真实意图，利用变量拼接和动态函数调用，例如 ${"\x47\x4c\x ...

感谢大概20多个网站大部分都中招了小部分没发现问题

作者: gg66 时间: 2025-1-10 21:44

我是老王发表于 2025-1-10 20:57
这是一个典型的PHP后门木马病毒代码。具有以下特征：

1. 代码高度混淆：使用了大量的数字数组（$00800_0 ...

好的感谢准备把系统换了感觉是系统的问题

作者: dx459630 时间: 2025-1-10 22:09

gg66 发表于 2025-1-10 21:44
好的感谢准备把系统换了感觉是系统的问题

你什么系统大哥求避雷不会是WINDOWS吧？？

作者: gg66 时间: 2025-1-11 18:21

dx459630 发表于 2025-1-10 22:09
你什么系统大哥求避雷不会是WINDOWS吧？？

宝塔网站系统是wp，可能是我用的盗版宝塔的问题我写在最前面了

作者: 周黑鸭 时间: 2025-1-11 18:32
纳尼，新站也用了他家的宝塔开心版。这样我再想重装了

作者: Edisen 时间: 2025-1-11 18:42
本帖最后由 Edisen 于 2025-1-11 18:43 编辑

我看看怎么个事

作者: Edisen 时间: 2025-1-11 18:58
https://urldown.lanzouw.com/ierGQ2kmfstc
纯木马.

https://51la.zvo2.xyz/ - 主要木马下载服务器
https://mynameiswanwan.com/about.php?520 - Shell链接
https://c.zvo1.xyz/ - 备用控制服务器1
https://c2.icw7.com/ - 备用控制服务器2
45.11.57.159 - 备用控制服务器3

作者: gg66 时间: 2025-1-11 20:38

Edisen 发表于 2025-1-11 18:58
https://urldown.lanzouw.com/ierGQ2kmfstc
纯木马.

就是我上传的那个代码文件好多网站都有，这个能说明是从服务器入侵的还是从wp的什么插件开始入侵的吗我用的破解版宝塔准备换正版了

作者: dx459630 时间: 2025-1-11 21:57

gg66 发表于 2025-1-11 20:38
就是我上传的那个代码文件好多网站都有，这个能说明是从服务器入侵的还是从wp的什么插件开始入侵的吗我 ...

感觉WP用插件是最容易被黑的。。。不要用插件试试

欢迎光临全球主机交流论坛 (https://52.ht/)