吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6445|回复: 43
收起左侧

【PHP后门】网站源码数据库内有后门,求助|9/8更新

[复制链接]
udada 发表于 2020-7-25 03:22
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 udada 于 2020-9-8 22:22 编辑


【源码和数据库已加到本帖最下方】


9/8最新
悬赏链接:https://www.52pojie.cn/thread-1263327-1-1.html
删除了function.php 262行开始的授权检查代码,并且关掉了sql数据库的远程连接后,过了一个月,今天突然发现网站数据库又被篡改了,每次篡改之前,都会在后台多出一个未知身份的账号,
bug.png 注册时间.png
7/29:
一,未知的SQL信息,文件位于 主程序/wx/application/database.php 15-18行,数据库不是我的,原先就有,不知道干嘛的,已经删除了里面账号密码部分信息,
未知数据库.png

7/26:
自那个莫名其妙的账户创建以来,今天发现已开始劫持网站页面功能(转链)数据库被篡改(详细如下)



介绍:
这套网站源码源码是从互站上买来的,源码数据库都有,是经过卖家二次开发的,但是源码没发现有加密文件或代码,用市面上大多数后门搜查软件查过,如下
virustotal(www.virustotal.com)在线扫描了zip压缩包:没有任何问题,零报警, virustotal.png
sangfor webshellkill :检测完全没有问题(0威胁)
sangfor webshellkiller.png
河马查杀:14个凝似后门,但好像都是网站功能部分(猜测)

河马查杀

河马查杀

D盾检测:两个3级文件上传(个人推测是网站功能部分)
D盾.png
D盾webshellkill:5处级别为1的问题,其中有一个echo
D盾webshellkill.png
网站安全狗(IIS版)最严重:共查处14处网页木马其中13处php1句话后门,1处PHP攻击脚本
网站安全狗(IIS版).png
目前个人认为最可疑的一个文件位于\主程序\system\conn.php 此文件红框内的域名/IP不是我的,原先就有,

conn.php

conn.php




目前已经出现的情况(危)
1、源码是3个月之前买的,一直在研究内容,放在服务器里没动,也没有任何发布推广,并且也关闭了相关的注册(处于禁止注册的情况),但是近期发现,莫名其妙的在用户列表内,会多出一个未知身份的用户名跟密码,删过一次隔了一天又出现了相同的一模一样的账户,此前因为用河马查杀,显示出来的是可疑文件,就没有管太多,最近突然发生这种情况不知道是BUG还是后门,如图

2、7/26 发现开始劫持页面功能,虽然劫持的还不完善,点不了他的那个劫持链接,但是根据手动输入地址查看,劫持跳转到一个APP下载界面,如图
开始劫持.png



目前的排查进度/建议/补充:(均根据贴内大佬们的回复进行的总结)
进度总结:
1、function.php 262行开始,这个url应该是原作者的相关授权检查链接,
凝似授权.png
2、基本排除网络安全狗(iis版)检测出的位于/主程序/wx/vendor/workerman的文件是PHP攻击脚本的可能性(因为这是个开源框架)
3、位于\主程序\system\conn.php  这个文件是连接数据库文件,(目前猜测那个莫名其妙出现的未知身份账户,就是从这个文件链接的数据库更新过来的)

补充总结:
1、这套源码是必须要后期更改源码,导入那个附带的数据库才可以用,所以相比源码,还是更担心数据库内的情况,难道那个莫名其妙出现的未知身份账户是从\system\conn.php 这个文件里填写的卖家(未知)数据库链接更新过来的?  BUG的可能性很低吧!
2、感谢大家给出的问卖家的建议,但是卖家是肯定不会承认有后门的,他们卖的也都是二次开发的,甚至到他们手里都三次开发以上了,尤其是互站这种地方,水很深
建议总结:
程序是TP框架,建议先升级框架



看在老弟这么认真检查跟排版,请懂的大牛给老弟看看吧,老弟是真的看不懂了,若需要悬赏也可以!源码数据库下载链接附在下面,万分感谢,



源码和原数据库蓝奏云链接:
https://wws.lanzouj.com/izH7Ieynooj
密码:9a7u


7月26日 被篡改后的数据库蓝奏云链接:(主要篡改信息位于1210行)
https://www.lanzoux.com/ixecpezqbkb
奇怪的PHP文件.png
奇怪的PHP文件1.png
找不到文件.png
删了前缀也找不到.png

免费评分

参与人数 2吾爱币 +1 热心值 +2 收起 理由
Ys159357 + 1 + 1 太辛苦,必须得给评分!
yuanruoning + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

华桥 发表于 2020-7-25 06:57
我做网站是简单粗暴!
在网上看中哪家姑娘,直接扒,二话不说就扒!喜欢就一辈子 ,不喜欢就再也不见!
用自己喜欢的源码做框架,妈妈再也不害怕我中病毒了
paike100 发表于 2020-9-8 18:05
这种明显就是后门监控程序没删除干净导致每次执行到某一节点就自动加载生成了
eWVhaA 发表于 2020-7-25 07:56
function.php 262行,这个url应该是原作者的相关授权检查链接
至于 /主程序/wx/vendor/workerman 这玩意是个开源框架,应该没啥问题
CleanShot 2020-07-25 at 07.50.39.png

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
夹竹桃 + 1 + 1 热心回复!

查看全部评分

吾爱灿灿 发表于 2020-7-25 08:32
function.php 262行,这个url应该是原作者的相关授权检查链接.至于这个件位于\主程序\system\conn.php  这个是连接数据库文件,你这个都没改的话,应该是远程连接的别人的数据库,你改为自己本地的数据库试试,如果还不不放心,程序框架安装升级下即可,尽量不要用导入的数据库和相关代码,另外源码确实多有BUG

免费评分

参与人数 2吾爱币 +2 热心值 +2 收起 理由
udada + 1 + 1 谢谢@Thanks! 专业
夹竹桃 + 1 + 1 热心回复!

查看全部评分

头像被屏蔽
漠北咖 发表于 2020-7-25 05:08
提示: 该帖被管理员或版主屏蔽
Xiao伟 发表于 2020-7-25 06:54
程序用的TP框架,建议先把框架升级一下,然后在查找后门,不然后门清除掉以后依旧会被挂上马!

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
夹竹桃 + 1 + 1 我很赞同!

查看全部评分

偷喝奶的浣熊 发表于 2020-7-25 07:43
把可能的外链的删了是可以了。阻止对外输出数据
沐洋 发表于 2020-7-25 08:15
来学习一下大神的处理方法
fnycwfj 发表于 2020-7-25 08:15
源码是从互站上买来的,买的当然有,和卖方联系
qw5550818 发表于 2020-7-25 08:23
学习一下!看看大佬们分析。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 17:42

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表