Injectie cod php - cine poate spune ce face?

[websource]

ziua buna,

nu stiu cum, nici nu are importanta, mai multe fisiere de pe un ftp au la inceput o bucata de cod php care seamana cu base64 ce contine un pack si un eval.
cine se pricepe foarte bine la din astea ca sa isi dea cu parerea despre ce face acel cod ca sa stiu cat sa imi fac griji?

am atasat arhiva zip cu fisierul ce contine codul.


spor si veselie

[Birkoff]

ia citeste asta, se aplica la ce ai tu viewtopic.php?f=24&t=22056

[websource]

multumesc pentru link, foarte util. o sa studiez ce e pe acolo
totusi, asta nu raspunde la intrebarea mea. cine poate sa imi zica ce face acel cod?

[Birkoff]

da si tu echo la ce e pasat ca parametru la functia eval si vezi ce face acel cod

in general eu lucrez pe servere cu safe mode = on (unde nu functioneaza eval) si nu am avut probleme de genul asta dar orice cod pasat la eval trebuie sa fie interpretabil de catre php deci dacca il afisezi vezi exact ce instructiuni sunt...

pur si simplu in loc de eval(codul tau criptat) dai echo(codul tau criptat) (inlocuiesti eval cu echo)

[websource]

corect. mersi

[vectorialpx]

Evident, o sa gasesti o multime de balarii, inclusiv calcule binare, pentru ca asa sunt facuti troienii

[keen]

[Birkoff]

keen, puteai sa pui si tu in topic separat.
Codul tau incearca sa citeasca un fisier aflat pe un server extern si sa il copieze intr-un director local temporar apoi acel fisier incearca sa il ruleze cu eval. Fisierul extern poate contine orice, si e schema clasica de atac RFI/LFI prin care se incearca obitinerea drepturilor de administrare la site si preluarea controlului ca admin. Codul e obfuscat ca sa fie greu citibil, dar se vede functia file_get_contents() cu care se incearca citirea confinutului fisierului aflat la distanta si daca nu merge incearca cu curl. ulterior exista mai jos eval() si include_once care incearca sa ruleze scriptul preluat.