【求助】大佬帮我看看这是什么新型病毒

我是老王5392

gg66 发表于 2025-1-10 20:49
你不看贴图吗

这是一个典型的PHP后门木马病毒代码。具有以下特征：

1. 代码高度混淆：使用了大量的数字数组（$00800_0_0）和十六进制编码来隐藏真实代码内容。

2. 使用urldecode函数：试图解码隐藏的恶意payload。

3. 可疑的函数调用：
   - 包含curl相关操作，可能用于远程连接
   - 使用die()函数处理执行结果
   - 包含文件操作相关代码

4. 特征字符串：包含了一些典型的webshell特征字符串和加密字符串

这类代码通常用于：
- 远程控制服务器
- 执行任意命令
- 窃取敏感信息
- 作为跳板攻击其他服务器

建议：
1. 立即删除这个文件
2. 检查服务器是否还有其他可疑文件
3. 检查服务器日志，查看是否有异常访问
4. 更新服务器安全设置，加强访问控制
5. 考虑重置受影响的账户密码

这种木马通常通过网站漏洞、弱密码等方式被植入，建议全面检查服务器安全状况。这是一个恶意的PHP脚本。
它通过混淆技术隐藏其真实意图，利用变量拼接和动态函数调用，例如 ${"\x47\x4c\x4f\x42\x41\x4c\x53"} 是对 GLOBALS 的混淆表示。
脚本使用 curl 或其他HTTP请求工具发送网络请求（CURLOPT_URL），
也尝试操作文件，例如删除、覆盖或注入代码到现有文件中。
其中 "aHR0cHM6Ly56d2tvbm93LmNvbS9hYm91dC5waHA=" 是Base64编码的URL

网站应该赶紧的下线，杀个毒，

是啥系统的站，

5392

windows下，自带杀毒都能识别 你这文件，需要关掉才能下载

gg66

5392 发表于 2025-1-10 20:58
这是一个恶意的PHP脚本。
它通过混淆技术隐藏其真实意图，利用变量拼接和动态函数调用，例如 ${"\x47\x4c\x ...

感谢  大概20多个网站 大部分都中招了  小部分没发现问题

gg66

我是老王 发表于 2025-1-10 20:57
这是一个典型的PHP后门木马病毒代码。具有以下特征：

1. 代码高度混淆：使用了大量的数字数组（$00800_0 ...

好的 感谢 准备把系统换了  感觉是系统的问题

dx459630

gg66 发表于 2025-1-10 21:44
好的 感谢 准备把系统换了  感觉是系统的问题

你什么系统 大哥  求避雷  不会是WINDOWS吧？？

gg66

dx459630 发表于 2025-1-10 22:09
你什么系统 大哥  求避雷  不会是WINDOWS吧？？

宝塔 网站系统是wp，可能是我用的盗版宝塔的问题  我写在最前面了

周黑鸭

纳尼，新站也用了他家的宝塔开心版。这样我再想重装了

Edisen

我看看怎么个事

Edisen

https://urldown.lanzouw.com/ierGQ2kmfstc
纯木马.



https://51la.zvo2.xyz/ - 主要木马下载服务器
https://mynameiswanwan.com/about.php?520 - Shell链接
https://c.zvo1.xyz/ - 备用控制服务器1
https://c2.icw7.com/ - 备用控制服务器2
45.11.57.159 - 备用控制服务器3

gg66dx459630

Edisen 发表于 2025-1-11 18:58
https://urldown.lanzouw.com/ierGQ2kmfstc
纯木马.

就是我上传的那个代码文件 好多网站都有，这个能说明是从服务器入侵的还是从wp的什么插件开始入侵的吗 我用的破解版宝塔 准备换正版了

gg66 发表于 2025-1-11 20:38
就是我上传的那个代码文件 好多网站都有，这个能说明是从服务器入侵的还是从wp的什么插件开始入侵的吗 我 ...

感觉WP用插件是最容易被黑的。。。不要用插件试试