GNU/Linux >> LINUX-Kenntnisse >  >> Linux

php-Datei automatisch in php.suspected umbenannt

Es ist etwas verschleiert, aber ich habe es entschleiert. Die Funktion flnftovr nimmt einen String und ein Array als Argumente. Es erstellt einen neuen String $ggy mit der Formel 

isset($array[$string[$i]]) ? $array[$string[$i]] : $string[$i];}

Anschließend wird der Zeichenfolge base64_decode vorangestellt.

Der String ist $s, das Array ist $koicev. Es wertet dann das Ergebnis dieser Manipulation aus. So wird schließlich ein String erstellt:

base64_decode(QGluaV9zZXQoJ2Vycm9yX2xvZycsIE5VTEwpOwpAaW5pX3NldCgnbG9nX2Vycm9ycycsIDApOwpAaW5pX3NldCgnbWF4X2V4ZWN1dGlvbl90aW1lJywgMCk7CkBzZXRfdGltZV9saW1pdCgwKTsKCmlmKGlzc2V0KCRfU0VSVkVSKfZW5jb2RlKHNlcmlhbGl6ZSgkcmVzKSk7Cn0=)

Was also tatsächlich auf Ihrem Server ausgeführt wird, ist:

@ini_set('error_log', NULL);
@ini_set('log_errors', 0);
@ini_set('max_execution_time', 0);
@set_time_limit(0);

if(isset($_SERVER)
encode(serialize($res));
}

Wenn Sie dies nicht erstellt haben und vermuten, dass Ihre Website gehackt wurde, würde ich vorschlagen, dass Sie den Server löschen und eine neue Installation aller Apps erstellen, die auf Ihrem Server ausgeführt werden.


Umbenennen von PHP-Dateien in php.suspected wird normalerweise von einem Hackerskript beabsichtigt und ausgeführt. Sie ändern die Dateierweiterung, um den Eindruck zu erwecken, dass die Datei von einer Antimalware-Software überprüft wurde, sicher ist und nicht ausgeführt werden kann. Aber in Wirklichkeit ist es nicht. Sie ändern die Erweiterung auf „php“, wann immer sie das Skript aufrufen möchten, und danach ändern sie die Erweiterung wieder auf „suspected“. Sie können darüber bei Securi Research Labs lesen

Vielleicht ist dieser Beitrag alt, aber das Thema lebt noch. Insbesondere laut der Malware-Kampagne vom Juni 2019, die auf WordPress-Plugins abzielt. Ich habe ein paar „verdächtige“ Dateien in den WordPress-Unterverzeichnissen meines Kunden gefunden (z. B. wp-content)


Die Umbenennung von .php Dateien nach .php.suspected findet heute immer wieder statt. Die folgenden Befehle sollten nichts bringen:

find <web site root> -name '*.suspected' -print
find <web site root> -name '.*.ico' -print

In meinem Fall konnten die infizierten Dateien mit den folgenden Befehlen gefunden werden:

cd <web site root>
egrep -Rl '\$GLOBALS.*\\x'
egrep -Rl -Ezo '/\*(\w+)\*/\s*@include\s*[^;]+;\s*/\*'
egrep -Rl -E '^.+(\$_COOKIE|\$_POST).+eval.+$'

Eine längere Beschreibung des Problems und wie man damit umgeht, habe ich auf GitHub vorbereitet.


Linux

  1. Wie ersetze ich eine Zeichenfolge in einer oder mehreren Dateien?

  2. So erstellen Sie eine PHPInfo-Seite

  3. Wie füge ich in Bash nach jeder Zeile in einer Datei eine Zeichenfolge hinzu?

  4. Entfernt Vorkommen von Zeichenketten in Textdatei

  5. Wie bekomme ich Zeilen, die eine Zeichenfolge in einer Datei enthalten?

Was ist php.ini?

So erstellen Sie eine PHP-Infoseite

Installieren Sie PHP auf Windows Server 2012 und höher

So verwenden Sie Sed zum Suchen und Ersetzen einer Zeichenfolge in einer Datei

Was ist Ihre Standard-PHP.ini-Datei?

Wo ist die php.ini-Datei auf einem Linux/CentOS-PC?