帮我看看这段 PHP 代码是木马后门么?

2017-12-30 07:10:33 +08:00
 yanwen

早上就收到阿里云的警告,说这个是木马....

求帮忙看看..金币致谢 感谢了



<?php

include "./common.php";

if (!isset($_GET['name'])) {
	die("missing name");
}

// trigger auth
$vcnt = xcache_count(XC_TYPE_VAR);
xcache_admin_namespace();

$name = $_GET['name'];
if (!empty($config['enable_eval'])) {
	eval('$name = ' . $name . ';');
}

if ($_SERVER['REQUEST_METHOD'] == 'POST') {
	if (!empty($config['enable_eval'])) {
		eval('$value = ' . $_POST['value'] . ';');
	}
	else {
		$value = $_POST['value'];
	}
	xcache_set($name, $value);
	header("Location: ./?do=listvar");
	exit;
}
$value = xcache_get($name);
if (!empty($config['enable_eval'])) {
	$value = var_export($value, true);
	$editable = true;
}
else {
	if (is_string($value)) {
		$editable = true;
	}
	else {
		$editable = false;
		$value = var_export($value, true);
	}
}

include "edit.tpl.php";
2434 次点击
所在节点    问与答
7 条回复
mht
2017-12-30 07:19:26 +08:00
往这个页面 post 东西就能执行代码了,你说呢?木马可能说不上,但是肯定是漏洞,eval 这种函数不应该用。
crab
2017-12-30 07:23:16 +08:00
https://github.com/alepharchives/xcache/blob/master/htdocs/cacher/edit.php
?
Arnie97
2017-12-30 07:33:52 +08:00
木马不会这么大摇大摆的,估计作者水平不行…
dangyuluo
2017-12-30 11:15:58 +08:00
估计不是后门,是编写人员技术不行,居然光明正大 eval get 来的参数
sdpfoue
2017-12-30 12:58:53 +08:00
现在有些码畜真的要逆天 素质差的一比
WordTian
2017-12-30 13:17:41 +08:00
只能说开发人员没安全意识
hcymk2
2017-12-30 13:28:35 +08:00
代码安全意识其实就和行人过马路是否看红绿灯一样。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/418786

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX