服务器被挂马了，用的 ThinkPHP 3.1，请问这个木马作用是干嘛的…

This link is temporarily disabled. The person who shared it hit their daily limit of traffic or downloads. Learn about traffic limits.

@ovear 不好意思，没注意到分享限制，刚刚在 MEGA 也存了一份 → https://mega.nz/#!C450TBYD!Sv4Y98u1unwgCDxrJaMAEo5gBa8OvJy7_F47nFNIXew

目测一句话后门，过狗

楼上+1 目测一句话

官方手册上说过 ThinkPHP 框架放到 web 目录之外比较安全

@x86
@yingfengi
@150
貌似每个目录都有木马文件，真的可怕，已经都清理掉了，不知道有没有留下其他的后门，请问各位如何查询呢…

可以过狗？

这么说吧，既然人家能上传一次，旧肯定能上传两次，三次，四次 。。。。
肯定是你程序有漏洞，当务之急是把漏洞找出来，堵上 。。

他 base64 你就解码一下呗
把它代码的执行改成输出

我就想不通，好好的国内网盘不用，就喜欢用国外的。你的 2 个链接每一个能下载的

@Telegram #10 好吧，第 2 个等了 2 分钟，终于走完一圈了显示下载按钮了。
这体验，TM 还不如国内百度盘呢

@Telegram

@x86 #3
@yingfengi #4

目测个奶子，老铁，你见过一句话这么长的吗？计算加了再多过狗的技巧，也不会这么长吧，这 TM 都快 100 句话了。。

直接把最后 eval 改成 echo，一执行不就出来了吗。

巧了，我电脑桌面刚好有一个你们所谓的过狗一句话。


不知道现在还能不能过

能提供一下大概时间的服务器日志么？

我遇到过这种情况，建议找一下 eval 漏洞
```
grep -r --include=*.php '[^a-z]eval($_POST' /path/to/site/
grep -r --include=*.php '[^a-z]eval($_' /path/to/site/
grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' /path/to/site/

@gbin 赞

@canky 服务器裸奔来的…

@yingfengi 挂马的那个站点最近要关掉了，就直接把目录清空了，希望不会再有了，其他的 web 目录都没有发现挂马的现象

@Technetiumer 好 我找个安全的环境明天试一下…

@Telegram 抱歉抱歉，百度云实在分享不出来，每次分享文件都瞬间被和谐了，所以才选择了使用国外的网盘，给你添麻烦了，也很感谢你的分析，明天我找个安全的环境 echo 试一下

@SlipStupig 腾讯云后台直接把木马隔离了，忘记看挂马的时间了，服务器日志也有点多，老哥您这边需要看哪些日志呢，我打包发上来

@gbin 好 谢谢老哥 我去试一下

------------
感谢各位的回复，顺便问一下有好用的防护软件吗？之前装过安全狗，每天提示我有被远程操作的风险之类的，一气之下卸载了…我认错…=_=

@Telegram 没用过 MEGA 吧，页面上显示进度的时候已经利用 FILESYSTEM 在下载了，慢是你梯子不行，MEGA 是国外网盘体验最好之一了

@skylancer #19 国外免费网盘没一个好用的，也可能是我孤陋寡闻。
见识过的基本就是那种吸引你下小电影，但是下载需要倒计时若干分钟才能开始的而且限速限制的厉害，然后勾引你开会员，分享者拿提成，一开会员速度就飞一样。

这个 mega 我也见识过多次了，现在只是把界面改的漂亮点而已。就没见他好用过，一般下载资源，遇到这种丢国外网盘的，就反感，宁愿不下，或者重新找。

还有，不用怀疑我的梯子，我可以流畅看 y2b 8K 不卡，这个 mega 当时我都没注意是不是匹配到了翻墙规则。