有人可以帮我看看这个被挂马的 PHP 怎么解析出内容吗?

2016-03-09 22:05:47 +08:00
 hoythan
突然服务器监控到非常慢的执行文件
然后找到了一个名字叫 error.php 的文件,我虽然删除了,但是还很不放心,可以帮我看看里面是什么内容吗?或者有什么方法可以看到吗?类似 base64_decode 之类的加密?

http://runjs.cn/detail/t7pjk2ps
点击查看源码帮我查看下 拜托各位。
4256 次点击
所在节点    程序员
48 条回复
yangqi
2016-03-09 22:55:57 +08:00
如果是 wordpress 的话漏洞还是很多的,不过大部分都是第三方插件或者模板。之前也被人下过一个马

一般在什么目录下能大概知道是从哪里进来的
hoythan
2016-03-09 22:56:10 +08:00
@ddaii 因为我写过一个基于来源的 editor.md 。里面附带了一个 upload.php 文件功能,我怀疑是通过这个将这东西写文件到我服务器上的。现在我就是不知道日后这种问题应该如何排查。
hoythan
2016-03-09 22:58:36 +08:00
@yangqi 因为这个 error.php 就是生成在这个编辑器之下,既然有生成权限我担心会大量的生成到其他地方心好累
jugelizi
2016-03-09 22:59:41 +08:00
查看文件创建时间 是程序上传还是系统漏洞
ftp 是不是一直被扫端口
查看访问日志
ddaii
2016-03-09 23:00:00 +08:00
看日志啊,在日志里搜索这个文件,看看是哪个 ip 在访问它,然后查找这个 ip 的所有访问记录大概就可以找出来了。
raincious
2016-03-09 23:08:20 +08:00
@yangqi 原来代码是帖全了,但是选择了 HTML 模式。

我也看了下那个文件,应该是用来发送垃圾邮件的。楼主你是不是真的下了盗版主题?

这个文件会接受 HTTP POST 请求,并且拿出请求的第一个参数作为配置交给 `type1_send` 函数。

`type1_send` 函数拿到配置之后,会用函数 `b64d` 以及 `decode` 将配置解开,然后 `unserialize`。`ak` 应该是密码?`sendSmtpMail` 函数用来构建一个 PHPMailer 实例来发送邮件(真牛逼啊,打包了整个 PHPMailer 进去,这么大真还算是偷偷摸摸么)

其实有未受控的 `unserialize` 就已经够不安全了,或许可以进行对象注入,把它当作木马完全不过分。
MaiCong
2016-03-09 23:11:52 +08:00
楼主如果有完整的那个数组函数,可以这样解码试试:
https://gist.github.com/maicong/738df897ca1d217bfe66
yangqi
2016-03-09 23:11:56 +08:00
@hoythan 查日志,多半和 upload.php 有关。要看 upload.php 里面具体怎么写的,一般没拿到 shell 的话很难传到其他文件夹

wordpress 的站每时每刻都有各种扫描漏洞的机器人
MaiCong
2016-03-09 23:21:52 +08:00
已经解出了源码
iyaozhen
2016-03-09 23:48:37 +08:00
@hoythan 富文本编辑器千万要谨慎,特别是还带上传功能的。市面上的基本都有坑。
mhycy
2016-03-09 23:49:05 +08:00
还记得昨天的 ALTER TABLE 么?
别告诉我你说的上传功能就是这货。。。。
SoloCompany
2016-03-09 23:50:07 +08:00
其实楼主的头像挺萌的
mhycy
2016-03-09 23:50:46 +08:00
@SoloCompany
头像有加成。。。
iyaozhen
2016-03-09 23:51:41 +08:00
还有,楼主,明天继续。静待
SoloCompany
2016-03-09 23:51:50 +08:00
@mhycy 嗯,还是没脑补出他怎么被老板砍死的样子
ztrt
2016-03-10 09:28:28 +08:00
第三集了啊,啥时候大结局
dark456852
2016-03-10 10:20:17 +08:00
预计第四集,楼主向运维迈进,欢迎进入我的行列~~~~~~
lutla
2016-03-10 14:01:35 +08:00
第五集,楼主学会了信息安全,欢迎成为同行~
ten789
2016-03-10 14:32:04 +08:00
坐等第 4 集 太欢乐啦
starqoq
2016-03-10 15:49:42 +08:00
把 eval 换成 echo 运行一下就行了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/262336

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX