兄弟们,服务器被入侵了,多了些文件,其中一个 360 直接报木马病毒了,另外一个不知是啥,有大佬有空研究下不?

296 天前
 xlinux

文件 1 (木马病毒注意):链接: https://pan.baidu.com/s/1UPYh_kgCx8WFZZJ-cm7ctw?pwd=4r4u 提取码: 4r4u 复制这段内容后打开百度网盘手机 App ,操作更方便哦 --来自百度网盘超级会员 v5 的分享

https://imgur.com/a/W1TFehN

文件 2 (是一个 PHP 文件):链接: https://pan.baidu.com/s/1KACRedAlvIfsMHVQX6M5xQ?pwd=a7jm 提取码: a7jm 复制这段内容后打开百度网盘手机 App ,操作更方便哦 --来自百度网盘超级会员 v5 的分享

https://imgur.com/uoOENtb

1566 次点击
所在节点    问与答
6 条回复
mumbler
296 天前
你直接传给 AI 大模型帮你分析可好,google ai studio 最近上的 gemini exp 1206 比 gpt4o 强,可以传 200 万 token 的文档,还免费
luoyide2010
296 天前
可以传到 virustotal.com 上看看分析结果,php 混淆过,大概率也不是什么好东西了
qwx
296 天前
php 像是个命令执行,估计有漏洞被人传马了吧
gqiuyuebai
296 天前
php 的 webshell
V3geD4g
296 天前
png 图片你用 010 就能看到末尾是个一句话木马,不过是 asp 的版本,你服务器是 php 的话没什么用; php 代码是个混淆过的木马,密码是 POST 传递 admin ,调试了一下发现 payload 就是异或了一下而已,异或的 key 是 192023a7bbd7325 ,并且是放在了 session 里面,需要请求两次才能执行,第一次是放在 session 里面,第二次 cookie 带上 sessionid 就能触发了,例如执行 whoami ,发送的数据就是 POST:admin=QkBBRFdeSUAKDQVaWhsO
daxin945
296 天前
把文件直接扔到微步的沙箱里吧

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1096268

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX