服务器被挂马了,用的 ThinkPHP 3.1,请问这个木马作用是干嘛的…

2017-12-18 21:01:26 +08:00
 xshwy
今天在腾讯云的后台看到有几十个木马警报,文件名、函数名全部都是乱码的样子,php 里面有大量的 base64 加密后的代码,请教一下各位有没有遇到类似的木马,以及这木马是干嘛的……

部分木马样本已上传到 Dropbox
https://www.dropbox.com/s/hsuy4n5qr7age6t/php.zip?dl=0


截图如下:
6638 次点击
所在节点    Linux
31 条回复
ovear
2017-12-18 21:10:15 +08:00
This link is temporarily disabled. The person who shared it hit their daily limit of traffic or downloads. Learn about traffic limits.
xshwy
2017-12-18 21:15:13 +08:00
@ovear 不好意思,没注意到分享限制,刚刚在 MEGA 也存了一份 → https://mega.nz/#!C450TBYD!Sv4Y98u1unwgCDxrJaMAEo5gBa8OvJy7_F47nFNIXew
x86
2017-12-18 21:19:29 +08:00
目测一句话后门,过狗
yingfengi
2017-12-18 21:21:11 +08:00
楼上+1 目测一句话
150
2017-12-18 21:21:45 +08:00
官方手册上说过 ThinkPHP 框架放到 web 目录之外比较安全
xshwy
2017-12-18 21:31:42 +08:00
@x86
@yingfengi
@150
貌似每个目录都有木马文件,真的可怕,已经都清理掉了,不知道有没有留下其他的后门,请问各位如何查询呢…
canky
2017-12-18 21:32:25 +08:00
可以过狗?
yingfengi
2017-12-18 21:57:29 +08:00
这么说吧,既然人家能上传一次,旧肯定能上传两次,三次,四次 。。。。
肯定是你程序有漏洞,当务之急是把漏洞找出来,堵上 。。
Technetiumer
2017-12-18 22:07:27 +08:00
他 base64 你就解码一下呗
把它代码的执行改成输出
Telegram
2017-12-18 22:17:27 +08:00
我就想不通,好好的国内网盘不用,就喜欢用国外的。你的 2 个链接每一个能下载的
Telegram
2017-12-18 22:19:01 +08:00
@Telegram #10 好吧,第 2 个等了 2 分钟,终于走完一圈了显示下载按钮了。
这体验,TM 还不如国内百度盘呢
tim2017
2017-12-18 22:21:09 +08:00
Telegram
2017-12-18 22:26:25 +08:00
@x86 #3
@yingfengi #4

目测个奶子,老铁,你见过一句话这么长的吗?计算加了再多过狗的技巧,也不会这么长吧,这 TM 都快 100 句话了。。

直接把最后 eval 改成 echo,一执行不就出来了吗。

Telegram
2017-12-18 22:42:04 +08:00
巧了,我电脑桌面刚好有一个你们所谓的过狗一句话。


不知道现在还能不能过
SlipStupig
2017-12-18 23:43:05 +08:00
能提供一下大概时间的服务器日志么?
gbin
2017-12-19 00:01:28 +08:00
我遇到过这种情况,建议找一下 eval 漏洞
```
grep -r --include=*.php '[^a-z]eval($_POST' /path/to/site/
grep -r --include=*.php '[^a-z]eval($_' /path/to/site/
grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' /path/to/site/
mingyun
2017-12-19 00:06:05 +08:00
@gbin
xshwy
2017-12-19 01:50:20 +08:00
@canky 服务器裸奔来的…

@yingfengi 挂马的那个站点最近要关掉了,就直接把目录清空了,希望不会再有了,其他的 web 目录都没有发现挂马的现象

@Technetiumer 好 我找个安全的环境明天试一下…

@Telegram 抱歉抱歉,百度云实在分享不出来,每次分享文件都瞬间被和谐了,所以才选择了使用国外的网盘,给你添麻烦了,也很感谢你的分析,明天我找个安全的环境 echo 试一下

@SlipStupig 腾讯云后台直接把木马隔离了,忘记看挂马的时间了,服务器日志也有点多,老哥您这边需要看哪些日志呢,我打包发上来

@gbin 好 谢谢老哥 我去试一下

------------
感谢各位的回复,顺便问一下有好用的防护软件吗?之前装过安全狗,每天提示我有被远程操作的风险之类的,一气之下卸载了…我认错…=_=
skylancer
2017-12-19 02:05:50 +08:00
@Telegram 没用过 MEGA 吧,页面上显示进度的时候已经利用 FILESYSTEM 在下载了,慢是你梯子不行,MEGA 是国外网盘体验最好之一了
Telegram
2017-12-19 02:41:41 +08:00
@skylancer #19 国外免费网盘没一个好用的,也可能是我孤陋寡闻。
见识过的基本就是那种吸引你下小电影,但是下载需要倒计时若干分钟才能开始的而且限速限制的厉害,然后勾引你开会员,分享者拿提成,一开会员速度就飞一样。

这个 mega 我也见识过多次了,现在只是把界面改的漂亮点而已。就没见他好用过,一般下载资源,遇到这种丢国外网盘的,就反感,宁愿不下,或者重新找。

还有,不用怀疑我的梯子,我可以流畅看 y2b 8K 不卡,这个 mega 当时我都没注意是不是匹配到了翻墙规则。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/415786

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX