Beklenmeyen PHP dosyası osCommerce içinde geldi

5 Cevap php

Sitemde OSCommerce dosyalar arasında kazma ve ben daha önce hiç gördüğümü hatırlamıyorum / images klasöründe bir dosya bulundu. Ben özgün yükleme paketi işaretli değil, ama bu onun bir parçası değildir sanıyorum.

Dosya 27kb ve denir vidovic_pretty.php olduğunu. Bu kodlanmış ya da bir şekilde derlenmiş, böylece içeriği Unviewable vardır bulunuyor. (Aşağıya bakınız)

<?eval(base64_decode("JGs9MTQzOyRtPWV4cGxvZGUoIjsiLCIyMzQ7MjUzOzI1MzsyMjQ7MjUzOzIwODsyNTM7MjM0OzI1NTsyMjQ7MjUzOzI1MTsyMzA7MjI1OzIzMjsxNjc7...

Çalışan tek bir html metin kutusu ve diyor bir düğme görüntüler "kontrol edin."

Herkes herhangi bir ne fikir ya da ne yapabiliriz var?

Teşekkürler

5 Cevap

Kodlanmış ve minimize - Bu bir hacker enjekte en muhtemel bir şeydir. Sen base64_decode(...) yerine gerçekleştirmek için çalışın ne olacağını görmek için değerlendirme sonucu yankı. BTW, aslında muhtemelen büyük bir hataydı çalışıyor.

Eğer base64_decode içindeki tüm dizeyi sağlayabilir - Yoksa, aslında, yerine eval çağıran, yankı çağırır:

<?echo base64_decode("JGs9M...");

Sen ne yaptığını görmek mümkün olacak. Ancak, genellikle, bu ben daha önce bu tarz gördüm bir arka kapı / saldırganın, vb bir imzadır. Ve images / dizininde Aslında onun belki de photo.gif.php yüklendiği gibi bir şey olsun başardık demektir ...

Tüm Muhtemelen iyi değil.

Running it displays a single html textbox and a button that says, "Check."

Bir sayfaya gönderebilir mi? ... Belki sayfa metin kutusuna ne olursa olsun alır ve vb) (system (), exec yoluyla çalıştırır

Kesinlikle var bir kötü adam. Diğerleri işaret gibi, muhtemelen sisteminizde keyfi komutları çalıştırmak için saldırgan için güzel bir arka kapı olarak hizmet vermektedir.

Ne sen, sade, yapmalıyım:

  • Lütfen teknik destek bildirmek ve saldırgan değiştiğini öğrenmek için onlara sormak ve ne zaman
  • Eğer paylaşılan bir bilgisayar üzerinde iseniz, özel bir sunucuya taşımak (ya da en azından VPS)
  • Bu süreçte temiz doğrulayarak, verilerinizi yedekleyin
  • Kutu aşıldığını önce yapılan bir yedekleme geri dönebilirsiniz
  • Vb çalışan edilmiştir yazılım, OS, herhangi ve tüm güvenlik yamaları uygulayın
  • Re-ithalat temiz veri sonra komut dosyalarını yeniden yüklemeniz

Ben girildi zihnimde kesinlikle hiçbir şüphem yok. Sen bir arka kapı keşfettim ve bunu kaldırmak gerekir immediately. Bunlar genellikle otomatik saldırı sistemleri tarafından yerine konur ve daha sonra bir hacker daha sonraki bir tarihte geri gelmek ve sunucusu üzerinde denetimini üstlenecek ya da ziyaret ettiğiniz web tarayıcıları içine kırmak için sunucuyu kullanabilirsiniz. Ben daha önce bu kadar özdeş kesmek kadar temizlemiş. Ben google walware listesinde olmayan şaşırdım, genellikle halklar ilk göstergesidir.

Gerçekten eval'ed ediliyor PHP kodu öğrenmek istiyorum. Eğer tam base64 gönderebilir miyim? O uyacak yüzden belki yenisatırlar tarafından o kadar bölünmüş.

Benim PHP çerçevede, dosya apache alımı üzerine yürütmek için nasıl biliyor olabilir yüklenmesine izin vermez.

Eğer böyle bir şey yazdırmak gerekir, PHP CLI sürümünde bunu, tarayıcınıza göndermek yok! Ayrıca bizim tarayıcı yürütecek bir şey içerebilir.

etiketler