安全預警：偽裝成合法ionCube編碼文件的惡意軟體已感染數百個網站

「用指尖改變世界」

針對PHP開發人員來講，為了保護知識產權或者保護PHP程序文件，他們在很多時候都需要對自己編寫的PHP代碼進行加密處理，而ionCube則是被廣泛採用的一種PHP加密技術。

成立於2002年的ionCube公司並推出了一系列工具來保護使用PHP編程語言編寫的軟體，使得任何人都無法在未經授權的計算機上查看、更改或者運行PHP程序文件。

具體來講，ionCube Encoder可以把PHP源代碼轉換成ByteCode。進行加密授權處理後的PHP代碼就不在開源了，必須使用ionCube loader才可以執行加密過的PHP代碼。

根據SiteLock公司的說法，數百個網站已經被發現感染了偽裝成合法ionCube編碼文件的惡意軟體。在查看受感染的網站時，SiteLock的研究小組發現了一些可疑的混淆文件，這些文件與合法的ionCube編碼文件幾乎完全相同。

通常來講，由於高額的許可成本和較高的兼容性要求，ionCube一般不會被用於惡意目的。但此次似乎出現了例外，研究小組十分確定這些可疑的ionCube編碼文件的確是惡意的，至少有700百個網站和7000個文件受到影響。

這些可疑的混淆文件(如「diff98.php」和「wrgcduzk.php」)是研究小組在分析一個受感染的WordPress網站時發現的。對比合法的ionCube文件，如果不仔細查看，我們很難發現有什麼不同。

在經過仔細分析和對比後，研究小組發現了一些不同之處：首先，虛假文件採用了一個與合法文件極其相似的函數，它使用了函數「il_exec」，而在合法文件中這個函數應該為「_il_exec」;其次，在虛假文件中還出現了兩個並不存在於合法文件中的語句「preg_replace」和「fopen」;最後還有一個相對較為明顯的區別，虛假文件的最後一行是return語句，而我們知道合法的ionCube編碼文件都以「exit()」結尾。

研究小組指出，儘管虛假文件存在很大程度上的混淆，使得它與合法文件儘可能看起來相似。但是「$ _POST」和「$ _COOKIE superglobals」的大量出現以及文件末尾的eval請求還是揭示了它的真正目的：接受並執行遠程代碼。

進一步的調查結果顯示，發放虛假ionCube編碼文件的攻擊者不僅將WordPress作為了攻擊目標，大量受感染的Joomla和CodeIgniter網站也在之後被發現。

ionCube的研究小組強調，虛假文件理論上幾乎可以感染任何運行PHP的Web伺服器。一旦解碼，虛假的ionCube文件就構成了惡意軟體。

另外，虛假文件並沒有固定的命名模式，即使擁有合法文件命名的「inc.php」和「menu.php」的文件也可能是惡意的。

本文由黑客視界綜合網路整理，圖片源自網路;轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！