我在我的网络服务器上找到了一个文件systems.php,我也没有 - 作为用户 - 放在那里,也没有我的网络服务器提供商放在那里。我查看了该文件,它只包含一个带有极长preg_replace()部分的$replacement语句,它似乎以某种方式编码。
preg_replace("/.*/e","\x28\x65\...\x29\x29\x3B",".");
如果我正确地解释了这个陈述,那就意味着基本上所有的东西都应该被替换为$replacement部分(可能是加密/编码的病毒注入东西)。
我有uploaded the whole code as pastebin here。有人知道代码加密的方式/如何解密以评估我服务器的泄密程度?
这可能是攻击媒介:
因此,经过一些挖掘,我们发现此脚本是使用Uploadify jQuery库中的漏洞进行的。图书馆的存在是由攻击者通过谷歌发现的。 source
答案 0 :(得分:1)
它看起来像一个Shellcode,对你的服务器来说可能是灾难性的,由CPU执行的shellcode可以提供对shell或其他东西的访问。 有关shellcode的更多信息,这里有一篇好文章:
http://www.vividmachines.com/shellcode/shellcode.html
此上传可能会隐藏您的服务器上可能的漏洞,该漏洞会授予上传或写入数据的权限,请尝试检查您的日志以确定问题。
答案 1 :(得分:1)
取消shellcode代码显示它正在执行eval(gzinflate(base64_decode(huge string));
我将此eval更改为echo,完整输出位于pastebin上:
我还没有进一步了解这一点,但它看起来确实很狡猾。我想我会为有兴趣进一步研究的人做一些腿部工作
稍微详细一点,它似乎允许攻击者将文件上传到您的服务器,并在盒子上转储任何数据库