首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
华为云
V2EX  ›  Linux

服务器被挂马了,用的 ThinkPHP 3.1,请问这个木马作用是干嘛的…

  •  
  •   xshwy · 307 天前 · 4103 次点击
    这是一个创建于 307 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天在腾讯云的后台看到有几十个木马警报,文件名、函数名全部都是乱码的样子,php 里面有大量的 base64 加密后的代码,请教一下各位有没有遇到类似的木马,以及这木马是干嘛的……

    部分木马样本已上传到 Dropbox
    https://www.dropbox.com/s/hsuy4n5qr7age6t/php.zip?dl=0


    截图如下:
    31 回复  |  直到 2017-12-19 17:03:18 +08:00
        1
    ovear   307 天前
    This link is temporarily disabled. The person who shared it hit their daily limit of traffic or downloads. Learn about traffic limits.
        2
    xshwy   307 天前
    @ovear 不好意思,没注意到分享限制,刚刚在 MEGA 也存了一份 → https://mega.nz/#!C450TBYD!Sv4Y98u1unwgCDxrJaMAEo5gBa8OvJy7_F47nFNIXew
        3
    x86   307 天前
    目测一句话后门,过狗
        4
    yingfengi   307 天前
    楼上+1 目测一句话
        5
    150   307 天前
    官方手册上说过 ThinkPHP 框架放到 web 目录之外比较安全
        6
    xshwy   307 天前
    @x86
    @yingfengi
    @150
    貌似每个目录都有木马文件,真的可怕,已经都清理掉了,不知道有没有留下其他的后门,请问各位如何查询呢…
        7
    canky   307 天前 via iPhone
    可以过狗?
        8
    yingfengi   307 天前
    这么说吧,既然人家能上传一次,旧肯定能上传两次,三次,四次 。。。。
    肯定是你程序有漏洞,当务之急是把漏洞找出来,堵上 。。
        9
    Technetiumer   307 天前 via Android
    他 base64 你就解码一下呗
    把它代码的执行改成输出
        10
    Telegram   307 天前   ♥ 1
    我就想不通,好好的国内网盘不用,就喜欢用国外的。你的 2 个链接每一个能下载的
        11
    Telegram   307 天前
    @Telegram #10 好吧,第 2 个等了 2 分钟,终于走完一圈了显示下载按钮了。
    这体验,TM 还不如国内百度盘呢
        12
    tim2017   307 天前 via iPhone
        13
    Telegram   307 天前
    @x86 #3
    @yingfengi #4

    目测个奶子,老铁,你见过一句话这么长的吗?计算加了再多过狗的技巧,也不会这么长吧,这 TM 都快 100 句话了。。

    直接把最后 eval 改成 echo,一执行不就出来了吗。

        14
    Telegram   307 天前
    巧了,我电脑桌面刚好有一个你们所谓的过狗一句话。


    不知道现在还能不能过
        15
    SlipStupig   307 天前
    能提供一下大概时间的服务器日志么?
        16
    gbin   307 天前 via Android   ♥ 1
    我遇到过这种情况,建议找一下 eval 漏洞
    ```
    grep -r --include=*.php '[^a-z]eval($_POST' /path/to/site/
    grep -r --include=*.php '[^a-z]eval($_' /path/to/site/
    grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' /path/to/site/
        17
    mingyun   307 天前
    @gbin
        18
    xshwy   307 天前
    @canky 服务器裸奔来的…

    @yingfengi 挂马的那个站点最近要关掉了,就直接把目录清空了,希望不会再有了,其他的 web 目录都没有发现挂马的现象

    @Technetiumer 好 我找个安全的环境明天试一下…

    @Telegram 抱歉抱歉,百度云实在分享不出来,每次分享文件都瞬间被和谐了,所以才选择了使用国外的网盘,给你添麻烦了,也很感谢你的分析,明天我找个安全的环境 echo 试一下

    @SlipStupig 腾讯云后台直接把木马隔离了,忘记看挂马的时间了,服务器日志也有点多,老哥您这边需要看哪些日志呢,我打包发上来

    @gbin 好 谢谢老哥 我去试一下

    ------------
    感谢各位的回复,顺便问一下有好用的防护软件吗?之前装过安全狗,每天提示我有被远程操作的风险之类的,一气之下卸载了…我认错…=_=
        19
    skylancer   307 天前
    @Telegram 没用过 MEGA 吧,页面上显示进度的时候已经利用 FILESYSTEM 在下载了,慢是你梯子不行,MEGA 是国外网盘体验最好之一了
        20
    Telegram   307 天前 via iPhone
    @skylancer #19 国外免费网盘没一个好用的,也可能是我孤陋寡闻。
    见识过的基本就是那种吸引你下小电影,但是下载需要倒计时若干分钟才能开始的而且限速限制的厉害,然后勾引你开会员,分享者拿提成,一开会员速度就飞一样。

    这个 mega 我也见识过多次了,现在只是把界面改的漂亮点而已。就没见他好用过,一般下载资源,遇到这种丢国外网盘的,就反感,宁愿不下,或者重新找。

    还有,不用怀疑我的梯子,我可以流畅看 y2b 8K 不卡,这个 mega 当时我都没注意是不是匹配到了翻墙规则。
        21
    Technetiumer   307 天前 via Android
    @Telegram
    MEGA 是 Kim Dotcom 搞的,不过他已经被轰出去了

    Kim Dotcom 说已经不可信了,MEGA 被新西兰政府控制

    的确是最好用网盘,而且还是端对端加密,因为是端对端所以才会在浏览器先缓存下载然后 JS 解密再秒下

    你说的那种都是广告满屏的网盘吧,能和 MEGA 比?

    非常怀疑你的梯子,毕竟 MEGA 公认速度好评。
        22
    Technetiumer   307 天前 via Android
    @Telegram

    你说的那个一圈的大概是加载 JS (下载是直条
    我这边秒开 MEGA 页面
        23
    yingfengi   307 天前 via Android
    @Telegram。。。没毛病,一句话用多了,看什么都像一句话
        24
    anyclue   307 天前
    @Telegram #13 哈哈哈,笑死我了
        25
    schema   307 天前 via Android
    @xshwy @ovear

    Dropbox 分享限制是啥,一直不知道有限制呀,谷歌没搜到
        26
    schema   307 天前 via Android
    @xshwy @ovear

    搜到了。免费版用户一天 20G & 10,000 次 traffic
        27
    justfindu   307 天前
    看起来像是加黑链的...快执行 看看是什么
        28
    jhdxr   307 天前
    @Telegram mega 这个肯定是你梯子问题,我不管在国内(带梯子)还是在国外下载 mega 速度最慢也得上兆


    @gbin 你这个查太多了,很多情况你没有考虑,比如 assert,比如变量函数( Variable functions )之类的
        29
    Telegram   307 天前
    @jhdxr #28 刚刚又去试了一下,这回加载还挺快的。
    其实这个页面加载马上就完成了,只是那个红圈比较慢
        30
    vus520   306 天前
    两句话可以禁掉 9 个 9 的 web 漏洞
    1,可写可访问的目录不可执行
    2,可写可执行的目录不可访问
        31
    anjing01   306 天前
    我们的 IDC 服务商发的邮件,看了下是公安三所搞的,我没有去尝试:

    “…………为提高网站安全防护能力,免费向中小客户提供网站安全防护措施,链接如下: https://waf.islab.cn/moreinfo.html
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2885 人在线   最高记录 3762   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 20ms · UTC 04:16 · PVG 12:16 · LAX 21:16 · JFK 00:16
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1