首先解释下为什么失踪了这么久
呃3个月没发了
抱歉啦百度蜘蛛
因为最近校里的事情比较多加上自己又做另一个自己网站的运维
所以博客也好久没来了
但是!!!
我没有忘记这个博客。我回来更新了
这篇文章就说下最近做运维的事情
首先是因为帮人做某个“一站式源码”网站
按理来说正版的源码是1人1份要花钱的
但给我的是一个所谓被“破解”的源码,免费安装。但是没这般好事给你
看似是完全破解使用了,但作者多半会留下些后门,webshell,php之类的后门
因为当时没想那么多就直接安装了其中需要很多权限我也没在意看直接安装上去
之后的一个多月后我再次登陆到phpadmin里看到数据库没了,然后有些关键文件也被删除了
这时候我才意识到网站有后门
以下是我的检测结果
shell | 疑似PHP后门 | other/peizhi.php |
疑似 | 疑似PHP后门 | install/index.php |
疑似 | 疑似ASP后门 | mh/cyui/bower_components/slimscroll/examples/libs/prettify/prettify.js |
疑似 | 疑似PHP后门 | user/user.php |
shell | 疑似PHP后门 | peizhi.php |
疑似 | 疑似PHP后门 | includes/360safe/360webscan.php |
疑似 | 疑似PHP后门 | includes/function.php |
疑似 | 疑似PHP后门 | includes/txprotect.php |
我主要查看的是peizhi.php这个文件
一看文件名就很奇怪 “配置”
配置后门信息
打开看
/*===================== 程序配置 =====================*/
$admin = array();
// 是否需要密码验证, true 为需要验证, false 为直接进入.下面选项则无效
$admin['check'] = true;
// 如果需要密码验证,请修改登陆密码
$admin['pass'] = '202cb962ac59075b964b07152d234b70';
//如您对 cookie 作用范围有特殊要求, 或登录不正常, 请修改下面变量, 否则请保持默认
// cookie 前缀
$admin['cookiepre'] = '';
// cookie 作用域
$admin['cookiedomain'] = '';
// cookie 作用路径
$admin['cookiepath'] = '/';
// cookie 有效期
$admin['cookielife'] = 86400;
//程序搜索可写文件的类型
!$writabledb && $writabledb = 'php,cgi,pl,asp,inc,js,html,htm,jsp';
/*===================== 配置结束 =====================*/
202cb962ac59075b964b07152d234b70
md5直接解密得出shell后台密码:123
重新安装一遍看看仔细
危险函数
正常源码不用请求该函数
至此
全站没有被上新的木马
可能是我禁止上传了asp,php,js等文件
最后提醒一下
别贪小便宜,是在要的话先查下后门,别到时候什么也没有了