隐藏在图像中的恶意代码
Malicious code hidden in image
我在我们的服务器上遇到了不可靠的文件上传。这是一张图片,MIME TYPE 已检出,但在服务器上它也以扩展名 .asp 和 .cer.
上传
从表面上看,它的照片有一些奇怪的中文符号和字母 asp,但我确信它隐藏了恶意代码。我按图片进行了 google 搜索,结果出现在其他一些网站的一些可能不安全的目录中。
这超出了我的能力范围,甚至无法验证。出于兴趣,我在记事本中打开文件,它有一个清晰的字符串 "Google",这只会让我更加相信它是恶意的。
我只需要知道
1- 是恶意的吗?
2-它做了 运行 并且做了什么?
3- 我该如何防范?
我无法将 link 提供给服务器上的实际文件,因为它已被删除,但我可以将其压缩并邮寄给任何想看的人。
如果有人对从哪里开始有一些建议,我将不胜感激。
这是同一张图片的 link,它出现在我的 google 搜索中,尽管这张图片很可能注入了不同的代码
http://www.bakjuweel.be/ShowImage.aspx?img=/upload/fotogalerijen/13/3.asp;.jpg&w=135&h=111
更新
经过更多的研究,我发现它有一个修改的 header 来注入代码。我 运行 通过 virustotal.com 确认了我的怀疑。 https://www.virustotal.com/en/file/3eac6e45d5923632089b538ca86d576c9994bd25be7940165ec997484d7c6715/analysis/
它做什么或是否执行仍然未知
好的,该文件是恶意文件,它包含编码 php,所有这些我都不确定是否有太多的编码层。它创建了一个后门,用于获取和执行远程代码。我们的任何防病毒软件均未检测到此文件,泄露的方式是 <% eval(. 是唯一不是 encoded.A 的部分,黑客利用旧版 FCKeditor 中的漏洞添加并执行了它.我还在寻找一种方法来防止它在未来出现。
我在我们的服务器上遇到了不可靠的文件上传。这是一张图片,MIME TYPE 已检出,但在服务器上它也以扩展名 .asp 和 .cer.
上传从表面上看,它的照片有一些奇怪的中文符号和字母 asp,但我确信它隐藏了恶意代码。我按图片进行了 google 搜索,结果出现在其他一些网站的一些可能不安全的目录中。
这超出了我的能力范围,甚至无法验证。出于兴趣,我在记事本中打开文件,它有一个清晰的字符串 "Google",这只会让我更加相信它是恶意的。
我只需要知道
1- 是恶意的吗? 2-它做了 运行 并且做了什么? 3- 我该如何防范?
我无法将 link 提供给服务器上的实际文件,因为它已被删除,但我可以将其压缩并邮寄给任何想看的人。
如果有人对从哪里开始有一些建议,我将不胜感激。
这是同一张图片的 link,它出现在我的 google 搜索中,尽管这张图片很可能注入了不同的代码
http://www.bakjuweel.be/ShowImage.aspx?img=/upload/fotogalerijen/13/3.asp;.jpg&w=135&h=111
更新
经过更多的研究,我发现它有一个修改的 header 来注入代码。我 运行 通过 virustotal.com 确认了我的怀疑。 https://www.virustotal.com/en/file/3eac6e45d5923632089b538ca86d576c9994bd25be7940165ec997484d7c6715/analysis/
它做什么或是否执行仍然未知
好的,该文件是恶意文件,它包含编码 php,所有这些我都不确定是否有太多的编码层。它创建了一个后门,用于获取和执行远程代码。我们的任何防病毒软件均未检测到此文件,泄露的方式是 <% eval(. 是唯一不是 encoded.A 的部分,黑客利用旧版 FCKeditor 中的漏洞添加并执行了它.我还在寻找一种方法来防止它在未来出现。