网站 › 『病毒救援区』 › 【PHP后门】网站源码数据库内有后门，求助|9/8更新

udada 发表于 2020-7-25 03:22

【PHP后门】网站源码数据库内有后门，求助|9/8更新

本帖最后由 udada 于 2020-9-8 22:22 编辑

https://static.52pojie.cn/static/image/hrline/1.gif
【源码和数据库已加到本帖最下方】
https://static.52pojie.cn/static/image/hrline/1.gif

9/8最新
悬赏链接：https://www.52pojie.cn/thread-1263327-1-1.html
删除了function.php 262行开始的授权检查代码，并且关掉了sql数据库的远程连接后，过了一个月，今天突然发现网站数据库又被篡改了，每次篡改之前，都会在后台多出一个未知身份的账号，

7/29：
一，未知的SQL信息，文件位于 主程序/wx/application/database.php 15-18行，数据库不是我的，原先就有，不知道干嘛的，已经删除了里面账号密码部分信息，


7/26：
自那个莫名其妙的账户创建以来，今天发现已开始劫持网站页面功能（转链）数据库被篡改（详细如下）

https://static.52pojie.cn/static/image/hrline/4.gif

介绍：
这套网站源码源码是从互站上买来的，源码数据库都有，是经过卖家二次开发的，但是源码没发现有加密文件或代码，用市面上大多数后门搜查软件查过，如下
virustotal（www.virustotal.com）在线扫描了zip压缩包：没有任何问题，零报警，
sangfor webshellkill ：检测完全没有问题（0威胁）

河马查杀：14个凝似后门，但好像都是网站功能部分（猜测）

D盾检测：两个3级文件上传（个人推测是网站功能部分）

D盾webshellkill：5处级别为1的问题，其中有一个echo

网站安全狗（IIS版）最严重：共查处14处网页木马其中13处php1句话后门，1处PHP攻击脚本




目前个人认为最可疑的一个文件位于\主程序\system\conn.php 此文件红框内的域名/IP不是我的，原先就有，


https://static.52pojie.cn/static/image/hrline/4.gif

目前已经出现的情况（危）
1、源码是3个月之前买的，一直在研究内容，放在服务器里没动，也没有任何发布推广，并且也关闭了相关的注册（处于禁止注册的情况），但是近期发现，莫名其妙的在用户列表内，会多出一个未知身份的用户名跟密码，删过一次，隔了一天又出现了相同的一模一样的账户，此前因为用河马查杀，显示出来的是可疑文件，就没有管太多，最近突然发生这种情况不知道是BUG还是后门，如图

2、7/26 发现开始劫持页面功能，虽然劫持的还不完善，点不了他的那个劫持链接，但是根据手动输入地址查看，劫持跳转到一个APP下载界面，如图


https://static.52pojie.cn/static/image/hrline/4.gif

目前的排查进度/建议/补充：（均根据贴内大佬们的回复进行的总结）
进度总结：
1、function.php 262行开始，这个url应该是原作者的相关授权检查链接，

2、基本排除网络安全狗（iis版）检测出的位于/主程序/wx/vendor/workerman的文件是PHP攻击脚本的可能性（因为这是个开源框架）
3、位于\主程序\system\conn.php这个文件是连接数据库文件，（目前猜测那个莫名其妙出现的未知身份账户，就是从这个文件链接的数据库更新过来的）

补充总结:
1、这套源码是必须要后期更改源码，导入那个附带的数据库才可以用，所以相比源码，还是更担心数据库内的情况，难道那个莫名其妙出现的未知身份账户是从\system\conn.php 这个文件里填写的卖家（未知）数据库链接更新过来的?BUG的可能性很低吧！
2、感谢大家给出的问卖家的建议，但是卖家是肯定不会承认有后门的，他们卖的也都是二次开发的，甚至到他们手里都三次开发以上了，尤其是互站这种地方，水很深
建议总结：
程序是TP框架，建议先升级框架

https://static.52pojie.cn/static/image/hrline/4.gif

看在老弟这么认真检查跟排版，请懂的大牛给老弟看看吧，老弟是真的看不懂了，若需要悬赏也可以！源码数据库下载链接附在下面，万分感谢，{:1_919:}{:1_919:}{:301_997:}{:17_1056:}

https://static.52pojie.cn/static/image/hrline/4.gif

源码和原数据库蓝奏云链接：
https://wws.lanzouj.com/izH7Ieynooj
密码:9a7u


7月26日 被篡改后的数据库蓝奏云链接：（主要篡改信息位于1210行）
https://www.lanzoux.com/ixecpezqbkb

华桥 发表于 2020-7-25 06:57

我做网站是简单粗暴！
在网上看中哪家姑娘，直接扒，二话不说就扒！喜欢就一辈子 ，不喜欢就再也不见！
用自己喜欢的源码做框架，妈妈再也不害怕我中病毒了

paike100 发表于 2020-9-8 18:05

这种明显就是后门监控程序没删除干净导致每次执行到某一节点就自动加载生成了

eWVhaA 发表于 2020-7-25 07:56

function.php 262行，这个url应该是原作者的相关授权检查链接
至于 /主程序/wx/vendor/workerman 这玩意是个开源框架，应该没啥问题

吾爱灿灿 发表于 2020-7-25 08:32

function.php 262行，这个url应该是原作者的相关授权检查链接.至于这个件位于\主程序\system\conn.php这个是连接数据库文件，你这个都没改的话，应该是远程连接的别人的数据库，你改为自己本地的数据库试试，如果还不不放心，程序框架安装升级下即可，尽量不要用导入的数据库和相关代码，另外源码确实多有BUG

漠北咖 发表于 2020-7-25 05:08

Xiao伟 发表于 2020-7-25 06:54

程序用的TP框架，建议先把框架升级一下，然后在查找后门，不然后门清除掉以后依旧会被挂上马！

偷喝奶的浣熊 发表于 2020-7-25 07:43

把可能的外链的删了是可以了。阻止对外输出数据

沐洋 发表于 2020-7-25 08:15

来学习一下大神的处理方法

fnycwfj 发表于 2020-7-25 08:15

源码是从互站上买来的，买的当然有，和卖方联系

qw5550818 发表于 2020-7-25 08:23

学习一下！看看大佬们分析。

查看完整版本: 【PHP后门】网站源码数据库内有后门，求助|9/8更新