【求助】大佬帮我看看这是什么新型病毒

gg66 · 发表于 2025-1-10 20:14:36

网站提示Fatal error: Array and string offset access syntax with curly braces is no longer supported in /www/wwwroot/域名/wordpress/index.php on line 2 后台可以进去首页报错下面是宝塔index文件贴补

我把代码复制到本地txt文本直接被电脑识别然后删掉了，改成了php文件
上传格式是7z的下载之后改成php就可以查看代码不改后缀不让我上传下面是代码文件
https://wwhk.lanzoub.com/iZWuU2kjnh1i

宝塔版本是这个https://baota.sbs/

5392 · 发表于 2025-1-10 20:58:23

这是一个恶意的PHP脚本。
它通过混淆技术隐藏其真实意图，利用变量拼接和动态函数调用，例如 ${"\x47\x4c\x4f\x42\x41\x4c\x53"} 是对 GLOBALS 的混淆表示。
脚本使用 curl 或其他HTTP请求工具发送网络请求（CURLOPT_URL），
也尝试操作文件，例如删除、覆盖或注入代码到现有文件中。
其中 "aHR0cHM6Ly56d2tvbm93LmNvbS9hYm91dC5waHA=" 是Base64编码的URL

网站应该赶紧的下线，杀个毒，

是啥系统的站，

dx459630 · 发表于 2025-1-11 21:57:54

gg66 发表于 2025-1-11 20:38
就是我上传的那个代码文件好多网站都有，这个能说明是从服务器入侵的还是从wp的什么插件开始入侵的吗我 ...

感觉WP用插件是最容易被黑的。。。不要用插件试试

gg66 · 发表于 2025-1-11 20:38:53

Edisen 发表于 2025-1-11 18:58
https://urldown.lanzouw.com/ierGQ2kmfstc
纯木马.

就是我上传的那个代码文件好多网站都有，这个能说明是从服务器入侵的还是从wp的什么插件开始入侵的吗我用的破解版宝塔准备换正版了

Edisen · 发表于 2025-1-11 18:58:11

https://urldown.lanzouw.com/ierGQ2kmfstc
纯木马.

https://51la.zvo2.xyz/ - 主要木马下载服务器
https://mynameiswanwan.com/about.php?520 - Shell链接
https://c.zvo1.xyz/ - 备用控制服务器1
https://c2.icw7.com/ - 备用控制服务器2
45.11.57.159 - 备用控制服务器3

Edisen · 发表于 2025-1-11 18:42:09

本帖最后由 Edisen 于 2025-1-11 18:43 编辑

我看看怎么个事

周黑鸭 · 发表于 2025-1-11 18:32:14

纳尼，新站也用了他家的宝塔开心版。这样我再想重装了

gg66 · 发表于 2025-1-11 18:21:05

dx459630 发表于 2025-1-10 22:09
你什么系统大哥求避雷不会是WINDOWS吧？？

宝塔网站系统是wp，可能是我用的盗版宝塔的问题我写在最前面了

dx459630 · 发表于 2025-1-10 22:09:44

gg66 发表于 2025-1-10 21:44
好的感谢准备把系统换了感觉是系统的问题

你什么系统大哥求避雷不会是WINDOWS吧？？

gg66 · 发表于 2025-1-10 21:44:46

我是老王发表于 2025-1-10 20:57
这是一个典型的PHP后门木马病毒代码。具有以下特征：

1. 代码高度混淆：使用了大量的数字数组（$00800_0 ...

好的感谢准备把系统换了感觉是系统的问题

gg66 · 发表于 2025-1-10 21:40:23

5392 发表于 2025-1-10 20:58
这是一个恶意的PHP脚本。
它通过混淆技术隐藏其真实意图，利用变量拼接和动态函数调用，例如 ${"\x47\x4c\x ...

感谢大概20多个网站大部分都中招了小部分没发现问题

		自动登录	找回密码
密码			注册

[疑问] 【求助】大佬帮我看看这是什么新型病毒