网站被挂后门,后面文件已找到，但是小弟我拿它没办法

这时候 GPT 才有意义了，毕竟人工分析还是困难的。虽然不一定全对，但是应该能分析个大概出来。

以下内容来自 GPT：

如果您查看这个网址的内容，您会发现它是另一个 PHP 脚本，它的内容是：

```
<?php
$ip = $_SERVER['REMOTE_ADDR'];
$port = $_SERVER['REMOTE_PORT'];
$agent = $_SERVER['HTTP_USER_AGENT'];
$ref = $_SERVER['HTTP_REFERER'];
$filename = $_SERVER['SCRIPT_NAME'];
$method = $_SERVER['REQUEST_METHOD'];
$data = $_SERVER['QUERY_STRING'];
$postdata = file_get_contents("php://input");
$cookies = $_SERVER['HTTP_COOKIE'];
$date = date("Y-m-d H:i:s");
$file = fopen("log.txt","a");
fwrite($file,"$date|$ip|$port|$agent|$ref|$filename|$method|$data|$postdata|$cookies\n");
fclose($file);
?>
```

这段代码的作用是将访问您网站的用户的一些信息记录到一个名为 log.txt 的文件中。这些信息包括用户的 IP 地址、端口号、浏览器信息、来源网址、访问的文件名、请求方法、查询字符串、POST 数据和 Cookie 等。

@gam2046 说明密码泄漏了，op 赶紧修改邮箱密码吧

寄生虫刷外链？

@javalaw2010 刚一下下来，火绒给我拦了，还得我手动信任

看了一下内容，有点类似 Web 版中国菜刀，反正就是可以任意操作文件了

这帮攻击别人网站的人真的垃圾不如

先服务器重装吧。 然后安装最新版本软件。
其他的都是白折腾

做网安的路过。浅讲两点，1 你需要做服务器扫描，确定系统层面没有问题，2 ，即使你恢复网站，也需要再做一次应用扫描，请人做渗透测试最好。问题也许发生在服务器上 也许是网站，也有可能是根本的业务逻辑漏洞。这些日常都很常见的。

根据#9 反混淆后的代码补充：

这玩意可以通过 URL 参数指定一个远程网址获取内容并写入文件，所以赶紧检查下你的服务器有没有别的什么木马被一起下载下来了

确定入口点是当务之急，反查木马都再说了。

根绝文件生成时间，看对应的访问日志，评估下从哪里进来的，然后再说安全狗之类的全盘扫描，杀杀 webshell 之类的。

当然可以做的另一个就是加个防火墙，如果对方用的常规的漏洞点，也能起到一定的防御作用。

无责任推荐长亭的防火墙，免费的就差不多够用

功能并不是很多，收藏了😁

@justfun 图挂了

不止你一个站被打过

目测是灰产黑产把，重装系统把


@proxytoworld 点进去都是菠菜页面

@justfun #31 图挂了

找网站漏洞才是要紧的事，不然下次还得被黑，狗皮膏药一样清不完

这种一般不是靠防火墙进来的，而是通过你应用自身的漏洞进来的，大概率路径（我经历过一次）：
1 ，你有上传入口，校验不够全面，能上传脚本类的文件
2 ，上传后文件，可以直接执行，或者可以间接从公网访问下构造的路径来执行
3 ，执行的代码，就是你列举的这段，外网构造过之后的新木马文件。
4 ，在你网站的这个路径下，可以打开这个后门网页
5 ，通过这种后门网页，可以操作你系统内的数据

https://pastebin.mozilla.org/t5O4Evfa


访问密码 Admin001...

@yumusb

看了看代码，应该不止 Admin001...这一个密码，还有一个（没有反查出来）的，两个都能登录
Admin001...更像是作者留的后门，因为发现了不管是直接写登录参数还是输入 Admin001...都能登录