前言
      其实我网站中马应该可以追朔到去年的八月份,当时好像是在 xx 平台有用户给我留言说网站上的游戏进不去了 (五子棋多人联机)。于是我打开一看发现首页被静态化了,为了快速能访问就重新提交了入口文件也没继续理会。
      直到后来,隔一断时间就又有人留言说打不开,我才开始排查起因了。进入项目代码里,我发现有些文件被修改了。另一方面呢,网站的收录也在不断变少,甚至搜索出来的词和描述都变了,有赌博的,也有体育,迷彩之类的,我猜测应该是中马了。
      但是有一点想不通,这人是不是闲得无聊。网站上除了技术类文章,还有就是一些 H5 单机游戏,资源城和多人联机游戏由于没有其他收入支撑,到期后就关闭了。剩下的就是一些免费使用的小工具了,有必要在我网站上挂马吗,带着这个疑问就全都排查了一下代码,终于找到了两个文件能解释这个问题了。
文件一,篡改的入口文件
      他是直接拿静态化的首页加了一些脚本放在了入口文件上,导致我导航栏的跳转全部失效,以下就是我截取的部分文件代码,再说明一下里面放了什么。 
1.TDK 部分
      也就是标题,描述和关键词都改了,就是上面的模样经过 ascii 编码,可以通过脚本之家的工具 ascii 转中文查看。他改的大概都是一些体育,迷彩之类的词,这也就解释了为什么网站的搜索词都变了,因为没有跳转收录也就变少了。
2.JavaScript 部分
      Js 主要是下面那一长串数字,是 unicode 编码了。我一个数字一个数字转完之后,发现原来是一个 Js 脚本引入,最后 ducument.write 就是每次进入都引入脚本,脚本如下。
原来是给他的网站做引流,所以我也打开了他网站,就是下面这个。
文件二,PHP 大马
      这个文件就是他们挂上去的,可能是之前通过留言表单的 bug 提交的,文件名 dama.php,网络上搜索应该就可以了解到,代码如下:
x62x61x73x65x36x34x5fx64x65x63x6fx64x65 像这个是十六进制,可以通过 JS 的 console.log 或 alert 显示出来,其实就是 base64_deocde 函数名,而 ncn3nRnynXn3nJnvndnDnEnzn 同样打印出来是如下一串换行的字母,所以就是 base64_decode () 那串,解码后是一个 str_rot13 () 函数
所以那一串长长的就是被 ROT13 编码了,可以通过以下方式修改,还原出那一串是些什么东西,也可以把 dama.php 在本地项目里直接运行。
运行后的样子如下,登陆密码就是他代码里的那个 $password, 其实大概猜的到是 Admin 经过 md5 的,登陆后如下。
登陆后,就可以看到,自己网站就如同裸奔,他可以任意的提交,修改,删除文件,还可以对目录或文件提权,扫描,执行命令等等功能。最后通过我修改后,近几日网站没有再出现之前的问题了。以上文件仅作提示,所以关于如何修改和那个大马如何使用就不做介绍了。
服务器托管,北京服务器托管,服务器租用 http://www.fwqtg.net
相关推荐: Kubernetes(k8s)一次性任务:Job
目录 一.系统环境 二.前言 三.Kubernetes Job简介 四.创建一次性任务job 4.1 创建一个简单任务的job 4.2 创建需要执行多次的job任务 五.测试job失败重试次数 六.job任务使用示例:计算圆周率 七.总结 一.系统环境 本文主…
