针对PHP开拓职员来讲,为了保护知识产权或者保护PHP程序文件,他们在很多时候都须要对自己编写的PHP代码进行加密处理,而ionCube则是被广泛采取的一种PHP加密技能。
成立于2002年的ionCube公司并推出了一系列工具来保护利用PHP编程措辞编写的软件,使得任何人都无法在未经授权的打算机上查看、变动或者运行PHP程序文件。
详细来讲,ionCube Encoder可以把PHP源代码转换成ByteCode。进行加密授权处理后的PHP代码就不在开源了,必须利用ionCube loader才可以实行加密过的PHP代码。
根据SiteLock公司的说法,数百个网站已经被创造传染了伪装成合法ionCube编码文件的恶意软件。在查看受传染的网站时,SiteLock的研究小组创造了一些可疑的稠浊文件,这些文件与合法的ionCube编码文件险些完备相同。
常日来讲,由于高额的容许本钱和较高的兼容性哀求,ionCube一样平常不会被用于恶意目的。但这次彷佛涌现了例外,研究小组十分确定这些可疑的ionCube编码文件的确是恶意的,至少数百个网站和数千个文件受到影响。
这些可疑的稠浊文件(如“diff98.php”和“wrgcduzk.php”)是研究小组在剖析一个受传染的WordPress网站时创造的。比拟合法的ionCube文件,如果不仔细查看,我们很难创造有什么不同。
在经由仔细剖析和比拟后,研究小组创造了一些不同之处:首先,虚假文件采取了一个与合法文件极其相似的函数,它利用了函数“il_exec”,而在合法文件中这个函数该当为“_il_exec”;其次,在虚假文件中还涌现了两个并不存在于合法文件中的语句“preg_replace”和“fopen”;末了还有一个相对较为明显的差异,虚假文件的末了一行是return语句,而我们知道合法的ionCube编码文件都以“exit()”结尾。
研究小组指出,只管虚假文件存在很大程度上的稠浊,使得它与合法文件尽可能看起来相似。但是“$ _POST”和“$ _COOKIE superglobals”的大量涌现以及文件末端的eval要求还是揭示了它的真正目的:接管并实行远程代码。
进一步的调查结果显示,发放虚假ionCube编码文件的攻击者不仅将WordPress作为了攻击目标,大量受传染的Joomla和CodeIgniter网站也在之后被创造。
ionCube的研究小组强调,虚假文件理论上险些可以传染任何运行PHP的Web做事器。一旦解码,虚假的ionCube文件就构成了恶意软件。
其余,虚假文件并没有固定的命名模式,纵然拥有合法文件命名的“inc.php”和“menu.php”的文件也可能是恶意的。
总体而言,ionCube的研究小组在调查中共创造有700多个受传染网站,虚假文件超过了7000多个。他们乃至还创造,超过100个轻微不同的虚假文件同时存在于单个站点上。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
