这是一个创建于 2973 天前的主题,其中的信息可能已经有所发展或是发生改变。
突然服务器监控到非常慢的执行文件
然后找到了一个名字叫 error.php 的文件,我虽然删除了,但是还很不放心,可以帮我看看里面是什么内容吗?或者有什么方法可以看到吗?类似 base64_decode 之类的加密?
http://runjs.cn/detail/t7pjk2ps
点击查看源码帮我查看下 拜托各位。
然后找到了一个名字叫 error.php 的文件,我虽然删除了,但是还很不放心,可以帮我看看里面是什么内容吗?或者有什么方法可以看到吗?类似 base64_decode 之类的加密?
http://runjs.cn/detail/t7pjk2ps
点击查看源码帮我查看下 拜托各位。
 |
1
Strikeactor 2016-03-09 22:14:43 +08:00  1
让你们老板招个运维吧真的。。
|
 |
2
hoythan OP @Strikeactor ...
|
 |
3
emric 2016-03-09 22:20:02 +08:00 1
一句话木马。
|
 |
7
raincious 2016-03-09 22:34:10 +08:00 1
楼主你这是连续剧么?
Day 1 :因为图片未压缩导致应用程序服务器带宽被挤爆 Day 2 :(猜测是)因为 SQL 查询太多导致 MySQL 服务器被查爆 Day 3 :被挂了木马 楼主,全栈工程师真的需要很多经验,不是一两天就会的。让你老板招一个前端 + 一个运维,让专业的人来做专业的事。自己在经验不足的情况下会可能会越弄越糟糕。 比如你那个木马,至少得把文件帖全了啊😂。 |
 |
8
MaiCong 2016-03-09 22:36:01 +08:00 1
楼主能把对应的代码贴全吗
|
 |
9
yangqi 2016-03-09 22:36:59 +08:00 1
自己运行一下,把 eval 去掉就行了,得到一个 109K 左右的 php 文件
|
 |
10
Moker 2016-03-09 22:39:45 +08:00 1
运行 echo 可以替换成一段 PHP 代码 然后就是这个作怪了 话说发生这种问题 一般来说都是盗版主题的问题
|
|
11
yangqi 2016-03-09 22:42:22 +08:00 1
|
|
12
yangqi 2016-03-09 22:45:50 +08:00 1
<script src="https://gist.github.com/yangqi/aa72f79941f3c126da98.js"></script>
|
|
13
yangqi 2016-03-09 22:46:14 +08:00 1
看了下好像是用来发垃圾邮件的
|
|
14
hoythan OP @Moker 整个网站除了 wordpress 系统外都是我自己写的,我也不知这个文件是怎么出现的
|
 |
15
strwei 2016-03-09 22:49:14 +08:00 1
eval 大法好
|
 |
17
stanhou 2016-03-09 22:49:27 +08:00 2
你们就继续帮 LZ 解决问题吧。
下次 LZ 的问题就是: “我们老板交给我一个任务,需求在这个网盘里,请好心人帮忙给做一下,最好了请直接发到我老板的邮箱里,省的我中转了,拜托各位” |
|
18
hoythan OP 1
@stanhou 我是真的解决不了,文件我已经自己处理成标准的 php 格式了,但是还是有少部分无法解码, php 也没法运行。相比较鱼,我更希望得到渔具。
|
 |
19
ddaii 2016-03-09 22:53:33 +08:00 1
其实不用管这个文件是什么内容,既然这个文件已经被执行了,那说明黑客至少能读写你的文件以及数据库,至于到什么程度就看你是怎么配置的了。另外,后门一定还在不解决掉它以后还会再来的。
|
|
21
yangqi 2016-03-09 22:55:57 +08:00 1
如果是 wordpress 的话漏洞还是很多的,不过大部分都是第三方插件或者模板。之前也被人下过一个马
一般在什么目录下能大概知道是从哪里进来的 |
|
22
hoythan OP |
|
23
hoythan OP @yangqi 因为这个 error.php 就是生成在这个编辑器之下,既然有生成权限我担心会大量的生成到其他地方心好累
|
 |
24
jugelizi 2016-03-09 22:59:41 +08:00
查看文件创建时间 是程序上传还是系统漏洞
ftp 是不是一直被扫端口 查看访问日志 |
|
25
ddaii 2016-03-09 23:00:00 +08:00
看日志啊,在日志里搜索这个文件,看看是哪个 ip 在访问它,然后查找这个 ip 的所有访问记录大概就可以找出来了。
|
|
26
raincious 2016-03-09 23:08:20 +08:00
@yangqi 原来代码是帖全了,但是选择了 HTML 模式。
我也看了下那个文件,应该是用来发送垃圾邮件的。楼主你是不是真的下了盗版主题? 这个文件会接受 HTTP POST 请求,并且拿出请求的第一个参数作为配置交给 `type1_send` 函数。 `type1_send` 函数拿到配置之后,会用函数 `b64d` 以及 `decode` 将配置解开,然后 `unserialize`。`ak` 应该是密码?`sendSmtpMail` 函数用来构建一个 PHPMailer 实例来发送邮件(真牛逼啊,打包了整个 PHPMailer 进去,这么大真还算是偷偷摸摸么) 其实有未受控的 `unserialize` 就已经够不安全了,或许可以进行对象注入,把它当作木马完全不过分。 |
|
27
MaiCong 2016-03-09 23:11:52 +08:00
楼主如果有完整的那个数组函数,可以这样解码试试:
https://gist.github.com/maicong/738df897ca1d217bfe66 |
|
28
yangqi 2016-03-09 23:11:56 +08:00
@hoythan 查日志,多半和 upload.php 有关。要看 upload.php 里面具体怎么写的,一般没拿到 shell 的话很难传到其他文件夹
wordpress 的站每时每刻都有各种扫描漏洞的机器人 |
|
29
MaiCong 2016-03-09 23:21:52 +08:00
已经解出了源码
|
 |
31
mhycy 2016-03-09 23:49:05 +08:00
还记得昨天的 ALTER TABLE 么?
别告诉我你说的上传功能就是这货。。。。 |
 |
32
SoloCompany 2016-03-09 23:50:07 +08:00
其实楼主的头像挺萌的
|
|
33
mhycy 2016-03-09 23:50:46 +08:00 1
@SoloCompany
头像有加成。。。 |
 |
34
iyaozhen 2016-03-09 23:51:41 +08:00 via Android 1
还有,楼主,明天继续。静待
|
|
35
SoloCompany 2016-03-09 23:51:50 +08:00 1
@mhycy 嗯,还是没脑补出他怎么被老板砍死的样子
|
 |
36
ztrt 2016-03-10 09:28:28 +08:00 via Android
第三集了啊,啥时候大结局
|
 |
37
dark456852 2016-03-10 10:20:17 +08:00
预计第四集,楼主向运维迈进,欢迎进入我的行列~~~~~~
|
 |
38
lutla 2016-03-10 14:01:35 +08:00
第五集,楼主学会了信息安全,欢迎成为同行~
|
 |
39
ten789 2016-03-10 14:32:04 +08:00
坐等第 4 集 太欢乐啦
|
 |
40
starqoq 2016-03-10 15:49:42 +08:00
把 eval 换成 echo 运行一下就行了。
|
 |
41
hicdn 2016-03-10 16:54:52 +08:00
把 upload.php 内容贴出来
|
 |
42
tuuuz 2016-03-10 17:11:01 +08:00
说个题外话:刚刚不小心点到题主微博
 |
|
43
tuuuz 2016-03-10 17:17:40 +08:00
题主叫老板找个运维吧
|
 |
44
unknownservice 2016-03-10 18:42:05 +08:00
年度大戏的赶脚,等更新
|
 |
48
akira 2016-03-11 23:26:44 +08:00
内容真不重要,重要的是这个文件怎么上去的。
|
Select Language