Yoo趣儿 › Geek › 程序员 › 网站被挂后门,后面文件已找到，但是小弟我拿它没办法 ...

网站被挂后门,后面文件已找到，但是小弟我拿它没办法

查看 209|回复 15

作者：Epona 发布时间：2023-9-12 11:03:43

事情经过：
1 个小网站前几天都还登录过去，昨天登录后台竟然提示密码不对，再试了 3 次一样提示，心里顿时不对劲，估计被黑了，立马返回网站首页查看源代码，果然被挂了 xx 内容，然后进宝塔进网站目录查看，发现了 1.php 文件。打开发现文件是 goto 加密，思考了片刻，还原不了。
例外在其他目录文件也发现了下面的片段：
这个远程 txt 地址就是入侵者用来生成 1.php
请各路神仙帮忙分析分析，里面都装的啥内容，希望让更多的 v 友知道，预防一下 🙏

文件, 网站, 目录, Goto

相关帖子

kilala2020 2023-9-12 11:04:21

东西好歹发出来看看

Epona

OP

2023-9-12 11:05:09

@kilala2020 忘记加代码块了，抱歉。

xieshaohu 2023-9-12 11:05:50

管他是什么内容，先防火墙规则设置只允许白名单进出，然后 tcpkill 杀掉所有连接，然后清理被感染的问题，再安装个 clamav 杀毒。
碰到过 Linux 被挂马最多的就是挖矿，白嫖算力。

ccc008 2023-9-12 11:06:39

找到这个文件修改的时间，然后分析日志，根据日志访问情况顺藤摸瓜找到网站原始漏洞，然后进行修补。

Epona

OP

2023-9-12 11:07:13

能解密里面的内容吗？ goto 加密似乎很难破译出来

ttentau1 2023-9-12 11:08:02

就是远控木马呗，重装吧。这玩意防不胜防的

NessajCN 2023-9-12 11:08:54

啥叫还原不了？你自己的服务器自己登不进去吗？ ssh ？ vnc ？
如果是 vps 那找云服务商啊
如果是线下实体机去拔线连显示器啊

ye4tar 2023-9-12 11:09:24

都是明文的，加密了什么？

javalaw2010 2023-9-12 11:10:09

随便搜了个在线反混淆工具解开看了下，就是个 webshell ，功能还挺多： https://t.wss.ink/f/c5x7f12ww27

12 / 2 页下一页

AD1

热门主题

热门板块

问与答分享发现分享创造奇思妙想分享邀请码商业推广优惠信息 Python PHP Java JavaScript Node.js Go语言 C++HTML

公告

返回顶部