php - 被黑了，这段代码是做什么的？

Question

警告:这是一个可能的漏洞。如果您不确定如何处理，请不要直接在您的服务器上运行。

http://pastehtml.com/view/1b1m2r6.txt

我相信这是通过不安全的上传脚本上传的。如何解码和解压缩此代码？在浏览器中运行它可能会以 shell 脚本的形式执行它，打开一个端口或其他东西。

我可以在线进行 base64 解码，但我无法真正解压它。

Answer 1

所以有一个字符串。它经过 gzip 压缩和 base64 编码，代码解码 base64，然后解压缩。

完成后，结果如下:

<? eval(base64_decode('...')); ?>

另一 base64 层，长度为 720440 字节。

现在，base64 解码，我们有 506961 字节的漏洞利用代码。

我仍在检查代码，当我有更多了解时会更新此答案。代码量很大。

仍在阅读代码，(做得很好的)漏洞允许这些工具暴露给黑客:

• TCP 后门设置
• 未经授权的 shell 访问
• 读取所有htpasswd、htaccess、密码和配置文件
• 日志删除
• MySQL 访问(读、写)
• 将代码附加到所有匹配名称模式的文件(大规模利用)
• RFI/LFI 扫描仪
• UDP 泛洪
• 内核信息

这可能是一个专业的基于 PHP 的服务器范围的漏洞利用工具包，并且由于它有一个漂亮的 HTML 界面和所有的东西，它可以很容易地被专业黑客甚至脚本小子使用。

这个漏洞被称为c99shell(感谢易江)，事实证明它很受欢迎，已经被谈论和运行了几年。 Google 上有很多关于此漏洞利用的结果。