继上一次帮某用户解决代理CC问题后,这次来一个用户代码被恶意敲诈。
学习更多知识:课嗨-课程说明_课嗨教育的博客-CSDN博客
事情流程如下:
用户购买一套源码,买之前,卖方承诺源码无任何问题,于是小伙伴就付钱买了~买了源码之后源码内的一些接口都没有,卖方表示要还要再付一次源码的费用给接口(简直是吃人不吐骨头)。但是用户发现源码搭建起来之后数据库里面有接口地址,于是乎就没有再搭理。网站搭建起来后过了四五个小时,小伙伴服务器就被黑了,卖家还特别得瑟的窗口找了过来。于是小伙伴联系了我。
排查过程及解决方案:
刚拿到机器没有日志本着能省事的心态看看日志的,用户本身用的是phpstudy,默认给的权限太高了并且默认没日志,于是乎,帮用户装了个宝塔,等待几个小时后观察了下,这个小婊砸改了数据库,这次并未操作服务器。意思很明确了,宝塔面板默认做了权限限制,小婊砸不会提权(就想在此处嘲讽他一下,说白了就是个会改改代码的敲诈犯而已),不过在日志中并为得到啥有用的信息,难道删了?显然并不可能,但是算了500多KB日志也不想去看,万一是个POST请求捏~日志里面也没有POST的请求内容。回头来看看源码。
只有一套源码,源码用D盾简单看了下有2个文件提示木马,简单看下内容如下: