网页中的未知代码

Question

我在我们的实时网页中发现未知代码。 我们还注意到我们共享网络托管空间上托管的几个网站被神秘地删除了。

我们发现的未知代码以图像格式显示在下面。请告诉我们这是什么类型的代码以及我们如何避免这些代码被添加到我们的网页中。

Answer 1

是的，它看起来像一个与这个相同的后门。我认为这是一篇有趣的文章，它详细介绍了解码过程，并介绍了如何清理系统。

Answer 2

看看这是否对您有帮助：http://forum.joomla.org/viewtopic.php? p=2360137

Answer 3

您的服务器上的其他地方可能存在相同或相似的代码/特洛伊木马/病毒，甚至在您的用户帐户之外也是如此。请参阅下面的建议#3。

这可疑看起来像一个RAT，因为它通过调用执行解码后的base64_decode
eval(base64_decode(“whole_bunch_of_obfuscated_stuff”));
由于您没有将该文件放在那里，因此请立即压缩它！

进一步建议：

1. 记下该病毒的创建日期/时间；它将帮助您检测您何时/如何被感染。
2. 压缩文件而不是删除它，将其从服务器上取下，然后将其发送到 [电子邮件受保护] 进行 RAT 解剖。
3. 搜索系统上的其他 RAT：在目录树的最高位置执行 [~] grep -r "base64_decode" . 。有关更多详细信息，请参阅下面提到的文章。
4. 请联系您的提供商。在某些条件下，此类远程控制工具可以跨用户帐户。

thegothicparty.com 上有一篇专门介绍 RAT 和服务器 RAT 感染的文章。

您可以在这里阅读：
http://thegothicparty.com/dev/article/server-side-virus-老鼠/