首页 > linux > eval恶意代码还原

eval恶意代码还原

2015年10月13日 发表评论 阅读评论

查看后台日至看到如下内容:
117.21.176.241 - - [13/Oct/2015:16:14:34 +0800] "POST / HTTP/1.1" "-" 200 53156 lemon=@eval(base64_decode($_POST[z0]));&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOztwcmludCgiaGFvcmVuIik7O2VjaG8oInw8LSIpO2RpZSgpOw== "-" "-"

这段内容是有人在扫面后台,执行eval一句话攻击,想知道它干什么,base64_decode这个内容。
decode时注意POST里的%要还原回url_encode前的字符。例如,把%2B和%3D用urldecode()函数还原分别是+号和=号

这段代码还原后的内容是:

分类: linux 标签:
  1. 2015年11月26日09:24 | #1

    学习咯

  1. 本文目前尚无任何 trackbacks 和 pingbacks.