GNU/Linux >> Belajar Linux >  >> Linux

File php secara otomatis diganti namanya menjadi php.diduga

Ini agak dikaburkan, tapi saya telah menghapusnya. Fungsi flnftovr mengambil string dan array sebagai argumen. Itu membuat string baru $ggy menggunakan rumus 

isset($array[$string[$i]]) ? $array[$string[$i]] : $string[$i];}

Ini kemudian menambahkan base64_decode ke string.

Stringnya adalah $s, arraynya adalah $koicev. Itu kemudian mengevaluasi hasil manipulasi ini. Jadi akhirnya sebuah string dibuat:

base64_decode(QGluaV9zZXQoJ2Vycm9yX2xvZycsIE5VTEwpOwpAaW5pX3NldCgnbG9nX2Vycm9ycycsIDApOwpAaW5pX3NldCgnbWF4X2V4ZWN1dGlvbl90aW1lJywgMCk7CkBzZXRfdGltZV9saW1pdCgwKTsKCmlmKGlzc2V0KCRfU0VSVkVSKfZW5jb2RlKHNlcmlhbGl6ZSgkcmVzKSk7Cn0=)

Jadi yang sebenarnya dijalankan di server Anda adalah:

@ini_set('error_log', NULL);
@ini_set('log_errors', 0);
@ini_set('max_execution_time', 0);
@set_time_limit(0);

if(isset($_SERVER)
encode(serialize($res));
}

Jika Anda tidak membuatnya dan Anda menduga situs Anda telah diretas, saya sarankan Anda menghapus server, dan membuat penginstalan baru untuk aplikasi apa pun yang berjalan di server Anda.


Mengganti nama file php menjadi php.suspected biasanya dimaksudkan dan dilakukan oleh script hacker. Mereka mengubah ekstensi file untuk memberi kesan bahwa file tersebut telah diperiksa oleh beberapa perangkat lunak antimalware, aman dan tidak dapat dijalankan. Tapi, nyatanya tidak. Mereka mengubah ekstensi menjadi "php" kapan pun mereka ingin menjalankan skrip dan setelah itu, mereka mengubah ekstensi kembali menjadi "diduga".Anda dapat membacanya di Securi Research Labs

Mungkin postingan ini sudah lama tapi topiknya masih hidup. Terutama menurut kampanye malware Juni 2019 yang menargetkan plugin WordPress. Saya menemukan beberapa file yang "dicurigai" di subdirektori WordPress klien saya (misalnya konten-wp)


Penggantian nama .php file ke .php.suspected terus terjadi hari ini. Perintah berikut seharusnya tidak menghasilkan sesuatu:

find <web site root> -name '*.suspected' -print
find <web site root> -name '.*.ico' -print

Dalam kasus saya, file yang terinfeksi dapat ditemukan dengan perintah berikut:

cd <web site root>
egrep -Rl '\$GLOBALS.*\\x'
egrep -Rl -Ezo '/\*(\w+)\*/\s*@include\s*[^;]+;\s*/\*'
egrep -Rl -E '^.+(\$_COOKIE|\$_POST).+eval.+$'

Saya telah menyiapkan deskripsi yang lebih panjang tentang masalah dan cara mengatasinya di GitHub.


Linux

  1. Bagaimana Cara Mengganti String Dalam File?

  2. Bagaimana Melewati String (bukan File) Ke Openssl?

  3. Cara Membuat Halaman phpinfo

  1. Gunakan File PHP.ini Kustom

  2. Tambahkan string awalan ke awal setiap baris

  3. Hapus kemunculan string dalam file teks

  1. Di Bash, bagaimana cara menambahkan string setelah setiap baris dalam file?

  2. cp -L vs cp -H

  3. Bagaimana cara mendapatkan baris yang berisi string dalam file?