Encontré una imagen jpeg en un servidor que contenía la cadena <?php
. El servidor también alberga una aplicación escrita en PHP. El contenido de la imagen que viene después de la cadena <?php
no es ascii.
No puedo encontrar nada en el archivo que parece ser un código PHP válido, pero no estoy dispuesto a aceptar que la cadena <?php
aparezca dentro del archivo por coincidencia.
La imagen jpeg se puede ver en Windows, pero muestra claramente anomalías visuales alrededor de 1/3 del camino hacia abajo. Guardar la parte de la imagen que comienza con <?php
como una imagen jpeg separada y verla como una imagen confirma que las anomalías visuales comienzan en el mismo punto en que ocurre la cadena <?php
.
Estoy razonablemente seguro de que esta imagen contiene PHP malicioso, pero mis intentos de detectar el código PHP ejecutable han fallado.
Editar
Esta imagen tiene anomalías visuales que comienzan en el punto de la cadena "<? php" y continúan hasta la parte inferior de la imagen. Para las pruebas, tomé un jpeg diferente (conocido como seguro), lo abrí en un editor de texto y agregué la cadena "<? Php" en algún lugar en el medio. La imagen de prueba tiene cero anomalías visuales. Esto me implica que la imagen en cuestión no solo fue maliciosamente alterada para contener la cadena "<? Php", sino que hubo alteraciones adicionales hechas después de la cadena "<? Php". Parece probable que esta imagen de alguna manera contenga código PHP ejecutable.
-
¿Esta imagen podría contener PHP ejecutable válido que esté codificado de manera que no sea legible en un editor de texto?
¿Cómo puedo confirmar y / o traducir el contenido del archivo de imagen para poder determinar qué ha hecho el malware?
Editar
La imagen está adjunta
Acontinuaciónsemuestralaimagenanteriorquesemodificó