首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
frozenway
V2EX  ›  PHP

服务器莫名其妙多了个文件,帮我看一下这个 PHP 文件的代码有什么用?

  •  
  •   frozenway · 81 天前 · 4866 次点击
    这是一个创建于 81 天前的主题,其中的信息可能已经有所发展或是发生改变。

    QQ 截图 20191030095622.jpg

    不知道写的是什么,感觉这代码也写得太烂了,一点都不规范啊

    第 1 条附言  ·  81 天前
    谢谢各位,是中木码了,
    27 回复  |  直到 2019-11-01 13:34:56 +08:00
    CloudMx
        1
    CloudMx   81 天前
    变形的一句话:
    php > echo '?'^"\x5e";
    a
    php > echo 'y'^"\xa";
    s
    php > echo '<'^"\x4f";
    s
    php > echo 'i'^"\xc";
    e
    php > echo ':'^"\x48";
    r
    php > echo 't'^"\x0";
    t
    opticaline
        2
    opticaline   81 天前   ♥ 1
    正常开发没人这么写代码,所以服务器上看到乱七八糟的代码都是被黑了。
    ShangAliyun
        3
    ShangAliyun   81 天前
    不知道是不是一句话木马类的东西,用来检测网站是否有能注入文件的漏洞的
    tomychen
        4
    tomychen   81 天前
    变形免杀 webshell
    兄弟,你的机器被 shell 了
    shench
        5
    shench   81 天前
    这显然是木马啊!
    luckyrayyy
        6
    luckyrayyy   81 天前
    谁能给解释下啥意思..
    falcon05
        7
    falcon05   81 天前 via iPhone
    这就是木马
    golden0125
        8
    golden0125   81 天前
    恭喜你,中马了
    Dogergo
        9
    Dogergo   81 天前
    是个木马

    ```php
    class EPLF
    {

    function __destruct()
    {
    return @assert("$this->RU");
    }
    }
    $a = new EPLF();
    @$a->RU = mkdir('/d/shellattack',0777,true);


    ```

    类似这样,可以通过远程请求该文件执行一些非法操作,执行的操作通过 post/get 提交的变量来处理。
    sauren
        10
    sauren   81 天前   ♥ 1
    一个 php 一句话木马。mr6 是密码。存在 id 参数时 base64 解密,不存在 id 时直接执行。usage:POST mr6=phpinfo() 将会执行 phpinfo。
    ahsjs
        11
    ahsjs   81 天前
    析构方法过狗么。
    eason1874
        12
    eason1874   81 天前
    assert,效果类似 eval。就是在析构的时候把 RU 变量作为代码字符串传给 assert 执行。
    laoyur
        13
    laoyur   81 天前
    莫名喜感
    JingNi
        14
    JingNi   81 天前
    构造函数的字符串连接,是专门绕过 waf 的一句话木马,直接能读写你网站根目录的文件,建议楼主备份数据库,检查网站访问日志还有运行环境,找可疑的访问用户。再审计上线原源码的图片上传点还有其他文件包含点吧。
    Mithril
        15
    Mithril   81 天前   ♥ 21
    被黑了居然还嫌人代码不规范
    被抢了嫌劫匪不够帅?
    locoz
        16
    locoz   81 天前
    @Mithril #15 哈哈哈哈哈哈哈哈哈哈哈哈哈太精辟了
    leadfast
        17
    leadfast   81 天前 via iPhone
    通常我会觉得这写的太牛批了,狗头保命
    wzhndd2
        18
    wzhndd2   81 天前
    我也遇到过这种情况,但我是个懒人,我如何能避免自己的服务器免于这种情况呢
    frozenway
        19
    frozenway   81 天前
    @wzhndd2 同问
    sunziren
        20
    sunziren   81 天前
    @wzhndd2 拔网线
    wzhndd2
        21
    wzhndd2   81 天前
    @sunziren #20 你可真是个机灵鬼
    loginv2
        22
    loginv2   81 天前
    不装 PHP 就没事了
    care
        23
    care   81 天前 via iPhone
    楼主是怎么发现服务器上多了个文件的🤣
    kcer
        24
    kcer   81 天前
    哈哈哈哈~中奖了~
    frozenway
        25
    frozenway   81 天前   ♥ 2
    @care find /data/www -type f -name "*.php" -mtime -1 查找最近修改过的 php 文件
    NakeSnail
        26
    NakeSnail   81 天前
    能这么写的在很多知识上比一般 PHP 深入多了,差在哪里。。规范?
    misskiki
        27
    misskiki   79 天前
    兄弟不用怀疑 你已经中毒了
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2660 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 35ms · UTC 12:06 · PVG 20:06 · LAX 04:06 · JFK 07:06
    ♥ Do have faith in what you're doing.