有人可以帮我看看这个被挂马的 PHP 怎么解析出内容吗？

如果是 wordpress 的话漏洞还是很多的，不过大部分都是第三方插件或者模板。之前也被人下过一个马

一般在什么目录下能大概知道是从哪里进来的

@ddaii 因为我写过一个基于来源的 editor.md 。里面附带了一个 upload.php 文件功能，我怀疑是通过这个将这东西写文件到我服务器上的。现在我就是不知道日后这种问题应该如何排查。

@yangqi 因为这个 error.php 就是生成在这个编辑器之下，既然有生成权限我担心会大量的生成到其他地方心好累

查看文件创建时间 是程序上传还是系统漏洞
ftp 是不是一直被扫端口
查看访问日志

看日志啊，在日志里搜索这个文件，看看是哪个 ip 在访问它，然后查找这个 ip 的所有访问记录大概就可以找出来了。

@yangqi 原来代码是帖全了，但是选择了 HTML 模式。

我也看了下那个文件，应该是用来发送垃圾邮件的。楼主你是不是真的下了盗版主题？

这个文件会接受 HTTP POST 请求，并且拿出请求的第一个参数作为配置交给 `type1_send` 函数。

`type1_send` 函数拿到配置之后，会用函数 `b64d` 以及 `decode` 将配置解开，然后 `unserialize`。`ak` 应该是密码？`sendSmtpMail` 函数用来构建一个 PHPMailer 实例来发送邮件（真牛逼啊，打包了整个 PHPMailer 进去，这么大真还算是偷偷摸摸么）

其实有未受控的 `unserialize` 就已经够不安全了，或许可以进行对象注入，把它当作木马完全不过分。

楼主如果有完整的那个数组函数，可以这样解码试试：
https://gist.github.com/maicong/738df897ca1d217bfe66

@hoythan 查日志，多半和 upload.php 有关。要看 upload.php 里面具体怎么写的，一般没拿到 shell 的话很难传到其他文件夹

wordpress 的站每时每刻都有各种扫描漏洞的机器人

已经解出了源码

@hoythan 富文本编辑器千万要谨慎，特别是还带上传功能的。市面上的基本都有坑。

还记得昨天的 ALTER TABLE 么？
别告诉我你说的上传功能就是这货。。。。

其实楼主的头像挺萌的

@SoloCompany
头像有加成。。。

还有，楼主，明天继续。静待

@mhycy 嗯，还是没脑补出他怎么被老板砍死的样子

第三集了啊，啥时候大结局

预计第四集，楼主向运维迈进，欢迎进入我的行列~~~~~~

第五集，楼主学会了信息安全，欢迎成为同行～

坐等第 4 集 太欢乐啦

把 eval 换成 echo 运行一下就行了。