V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
yanwen
V2EX  ›  问与答

帮我看看这段 PHP 代码是木马后门么?

  •  
  •   yanwen · 2017-12-30 07:10:33 +08:00 · 2500 次点击
    这是一个创建于 2549 天前的主题,其中的信息可能已经有所发展或是发生改变。

    早上就收到阿里云的警告,说这个是木马....

    求帮忙看看..金币致谢 感谢了

    
    
    <?php
    
    include "./common.php";
    
    if (!isset($_GET['name'])) {
    	die("missing name");
    }
    
    // trigger auth
    $vcnt = xcache_count(XC_TYPE_VAR);
    xcache_admin_namespace();
    
    $name = $_GET['name'];
    if (!empty($config['enable_eval'])) {
    	eval('$name = ' . $name . ';');
    }
    
    if ($_SERVER['REQUEST_METHOD'] == 'POST') {
    	if (!empty($config['enable_eval'])) {
    		eval('$value = ' . $_POST['value'] . ';');
    	}
    	else {
    		$value = $_POST['value'];
    	}
    	xcache_set($name, $value);
    	header("Location: ./?do=listvar");
    	exit;
    }
    $value = xcache_get($name);
    if (!empty($config['enable_eval'])) {
    	$value = var_export($value, true);
    	$editable = true;
    }
    else {
    	if (is_string($value)) {
    		$editable = true;
    	}
    	else {
    		$editable = false;
    		$value = var_export($value, true);
    	}
    }
    
    include "edit.tpl.php";
    
    
    
    
    7 条回复    2017-12-30 13:28:35 +08:00
    mht
        1
    mht  
       2017-12-30 07:19:26 +08:00 via iPhone   ❤️ 1
    往这个页面 post 东西就能执行代码了,你说呢?木马可能说不上,但是肯定是漏洞,eval 这种函数不应该用。
    crab
        2
    crab  
       2017-12-30 07:23:16 +08:00   ❤️ 1
    Arnie97
        3
    Arnie97  
       2017-12-30 07:33:52 +08:00 via Android   ❤️ 1
    木马不会这么大摇大摆的,估计作者水平不行…
    dangyuluo
        4
    dangyuluo  
       2017-12-30 11:15:58 +08:00   ❤️ 1
    估计不是后门,是编写人员技术不行,居然光明正大 eval get 来的参数
    sdpfoue
        5
    sdpfoue  
       2017-12-30 12:58:53 +08:00   ❤️ 1
    现在有些码畜真的要逆天 素质差的一比
    WordTian
        6
    WordTian  
       2017-12-30 13:17:41 +08:00 via iPhone   ❤️ 1
    只能说开发人员没安全意识
    hcymk2
        7
    hcymk2  
       2017-12-30 13:28:35 +08:00   ❤️ 1
    代码安全意识其实就和行人过马路是否看红绿灯一样。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1274 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 17:32 · PVG 01:32 · LAX 09:32 · JFK 12:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.