帝国论坛帝国网站管理系统交流区帝国CMS使用交流[求助]大佬帮看下php是病毒吗?谢谢 【本版专题贴子】  
 1/2     1 2 ›› ›|
主题:[求助]大佬帮看下php是病毒吗?谢谢 [加入收藏夹]   

ybatsh
用户头衔:秀才

精华贴   :0
发贴数   :47
经验值   :347
注册时间:2012-04-09
信息 搜索 好友 发送悄悄话 精益求精-帝国网站管理系统7.5正式版开源发布】   [第 1 楼]
[求助]大佬帮看下php是病毒吗?谢谢
我有个帝国7.0的网站,今天主机上给我发了个邮件,说我主机上有个文件被感染了,他们病毒扫描结果如下:
/home3/terrainl/public_html/500.php: SL-PHP-EVAL_REQUEST-axof.UNOFFICIAL FOUND

----------- SCAN SUMMARY -----------
Known viruses: 2167338
Engine version: devel-clamav-0.99-beta1-632-g8a582c7
Scanned directories: 3514
Scanned files: 22171
Infected files: 1
Data scanned: 151.32 MB
Data read: 196.84 MB (ratio 0.77:1)
Time: 183.395 sec (3 m 3 s)

我看了看这个500.php, 2012年就有了,其中代码如下:
<!-- PHP Wrapper - 500 Server Error -->
<html><head><title>500 Server Error</title></head>
<body bgcolor=white>
<h1>500 Server Error</h1>

A misconfiguration on the server caused a hiccup.
Check the server logs, fix the problem, then try again.
<hr>

<?
  echo "URL: http://".$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']."<br>\n";
  $fixer = "checksuexec ".escapeshellarg($_SERVER['DOCUMENT_ROOT'].$_SERVER['REQUEST_URI']);
  echo `$fixer`;
?>

</body></html>

大佬们,这个是病毒吗?还是误报?谢谢。



2021-11-04 11:14:01 已设置保密 顶部 回复 引用 报告 编辑 删除

lycool
用户头衔:探花

精华贴   :0
发贴数   :4206
经验值   :10776
注册时间:2008-02-15
信息 搜索 好友 发送悄悄话 免费开源-EBMA系统:更安全的MYSQL管理和备份系统】   [第 2 楼]

是木马



2021-11-04 11:35:56 已设置保密 顶部 回复 引用 报告 编辑 删除

lycool
用户头衔:探花

精华贴   :0
发贴数   :4206
经验值   :10776
注册时间:2008-02-15
信息 搜索 好友 发送悄悄话 精益求精-帝国网站管理系统7.5正式版开源发布】   [第 3 楼]

好像又不像,因为没有执行木马,只是转换成字符



2021-11-04 11:38:46 已设置保密 顶部 回复 引用 报告 编辑 删除

lycool
用户头衔:探花

精华贴   :0
发贴数   :4206
经验值   :10776
注册时间:2008-02-15
信息 搜索 好友 发送悄悄话 免费开源-EBMA系统:更安全的MYSQL管理和备份系统】   [第 4 楼]

你加这个文件做什么?做500错误提示页?



2021-11-04 11:39:49 已设置保密 顶部 回复 引用 报告 编辑 删除

ybatsh
用户头衔:秀才

精华贴   :0
发贴数   :47
经验值   :347
注册时间:2012-04-09
信息 搜索 好友 发送悄悄话 精益求精-帝国网站管理系统7.5正式版开源发布】   [第 5 楼]

我都不知道这个PHP什么时候出现的,我现在把这个PHP删除了,主机商说是个木马,把我网站发邮件的功能给我停了



2021-11-04 11:52:07 已设置保密 顶部 回复 引用 报告 编辑 删除

ybatsh
用户头衔:秀才

精华贴   :0
发贴数   :47
经验值   :347
注册时间:2012-04-09
信息 搜索 好友 发送悄悄话 免费开源-EBMA系统:更安全的MYSQL管理和备份系统】   [第 6 楼]

这个500.php不是我弄的,应该是自动出现的,而且现在看它的最后修改日期是2012年,如果是病毒不是早就该被发现了,怎么2021年了才被发现?我看不懂PHP代码,不知道它是不是木马,所以给各位大佬看看鉴别一下。



2021-11-04 11:59:05 已设置保密 顶部 回复 引用 报告 编辑 删除

lycool
用户头衔:探花

精华贴   :0
发贴数   :4206
经验值   :10776
注册时间:2008-02-15
信息 搜索 好友 发送悄悄话 精益求精-帝国网站管理系统7.5正式版开源发布】   [第 7 楼]

只是上面代码倒不是什么危险内容,只是访问会显示网站所在目录



2021-11-04 13:12:20 已设置保密 顶部 回复 引用 报告 编辑 删除

lycool
用户头衔:探花

精华贴   :0
发贴数   :4206
经验值   :10776
注册时间:2008-02-15
信息 搜索 好友 发送悄悄话 免费开源-EBMA系统:更安全的MYSQL管理和备份系统】   [第 8 楼]

倒像是空间商自定义的500提示页面



2021-11-04 13:13:33 已设置保密 顶部 回复 引用 报告 编辑 删除

loovveerr
用户头衔:书生

精华贴   :0
发贴数   :24
经验值   :144
注册时间:2012-08-13
信息 搜索 好友 发送悄悄话 精益求精-帝国网站管理系统7.5正式版开源发布】   [第 9 楼]
是后门,赶紧做安全防护
是后门,赶紧做安全防护。中国菜刀可以百度了解下


大资料100 https://www.dzl100.com
2021-11-04 17:12:11 已设置保密 顶部 回复 引用 报告 编辑 删除

ybatsh
用户头衔:秀才

精华贴   :0
发贴数   :47
经验值   :347
注册时间:2012-04-09
信息 搜索 好友 发送悄悄话 免费开源-EBMA系统:更安全的MYSQL管理和备份系统】   [第 10 楼]

是的,我谷歌了下,发现这些代码好像是500错误比较通用的代码,应该不是病毒,谢谢,正在和bluehost沟通



2021-11-05 12:59:00 已设置保密 顶部 回复 引用 报告 编辑 删除
 1/2     1 2 ›› ›|

快速回复
内容

表情
使用EBB代码 使用smile代码 显示签名 自动分析url 自动分析img
     【进入高级模式】   (按 Ctrl+Enter 直接提交)
    顶部  加入收藏夹
关于帝国 | 广告服务 | 联系我们 | 法律声明 | 隐私条款 | 许可协议
Powered by: EBB Version 2.2.1