常見的惡意程式

FilesMan

FilesMan 是一個後門程式,透過 PHP 網頁,在你網站內允許未受權的檔案存取/新建/修改。
現時有很多很多不同的 FilesMan 版本,右方只是其中之一而已。

FilesMan

遠程執行任意代碼

右方的圖片隱藏了 PHP 代碼 ,若我們去解碼時,可以看見以下 PHP 程式碼 –

malware_remote_code_exec_detail

eval() 即時 執行內裡的 PHP 程式碼 (execute the content)

明顯地,這是一個允許任意執行代碼的遙距程式碼,任何執行代碼透過 HTTP POST 輸入至 nf0b08a ,該代碼就會被執行。
(HTTP POST 是一個非常普遍的請求,例如每當用戶進行登入,就會使用 HTTP POST).

Remote Arbitrary Code execution

遠程執行任意代碼 (比較複雜)

這是一個比較複雜的遠程執行任意代碼

Remote Arbitrary Code execution

隱藏的惡意程式

部份惡意程式可能隱藏於一些常見文字檔案 (例如授權檔案)

malicious PHP commands hidden in apparent license file

過度的流量

右圖顯示了一段惡意程式, 被種入至 wp_content/themes/xxxx/header.php

每當人瀏覽這網網站,這段 JavaScript 會送至用戶端瀏覽器 (因為它是佈景主題一部份)。

從程式碼看來,用戶端瀏覽器會每隔 10 秒會送出 http://www.ac???.e?/js/… 網頁請求,
這樣,
1個用戶每隔 10 秒會送出 1 個請求;
10 個用戶每隔 10 秒會送出 10 個請求;
100 個用戶每隔 10秒會送出 100 個請求;

當這惡意程式被廣泛流傳,它會製造大量過度的流量攻擊受害者網站,令該網站緩慢,甚或未能接上。
(在這例子中,受害者網站是 www.ac???.e?)

Generate excessive traffic against victim website

關於 RecoverWP.com

RecoverWP.com 是由自 2003 年從事網頁寄存、 WordPress 網站、互聯網安全等人士經營管理。

聯絡: (852) 3502-4863 , 傳真: (852) 3007-4863
電郵: support@recoverwp.com
地址: 香港葵芳葵豐街 1-15 號盈業大廈 B 座 16 樓 1617A 室
版權所有 2015-2019 (c) 網站維護服務有限公司

Pin It on Pinterest

Share This