V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
frozenway
V2EX  ›  PHP

服务器莫名其妙多了个文件,帮我看一下这个 PHP 文件的代码有什么用?

  •  
  •   frozenway · 2019-10-30 09:59:57 +08:00 · 7753 次点击
    这是一个创建于 1884 天前的主题,其中的信息可能已经有所发展或是发生改变。

    QQ 截图 20191030095622.jpg

    不知道写的是什么,感觉这代码也写得太烂了,一点都不规范啊

    第 1 条附言  ·  2019-10-30 10:42:43 +08:00
    谢谢各位,是中木码了,
    27 条回复    2019-11-01 13:34:56 +08:00
    CloudMx
        1
    CloudMx  
       2019-10-30 10:09:42 +08:00
    变形的一句话:
    php > echo '?'^"\x5e";
    a
    php > echo 'y'^"\xa";
    s
    php > echo '<'^"\x4f";
    s
    php > echo 'i'^"\xc";
    e
    php > echo ':'^"\x48";
    r
    php > echo 't'^"\x0";
    t
    opticaline
        2
    opticaline  
       2019-10-30 10:11:53 +08:00   ❤️ 1
    正常开发没人这么写代码,所以服务器上看到乱七八糟的代码都是被黑了。
    ShangAliyun
        3
    ShangAliyun  
       2019-10-30 10:13:41 +08:00
    不知道是不是一句话木马类的东西,用来检测网站是否有能注入文件的漏洞的
    tomychen
        4
    tomychen  
       2019-10-30 10:13:56 +08:00
    变形免杀 webshell
    兄弟,你的机器被 shell 了
    shench
        5
    shench  
       2019-10-30 10:19:07 +08:00
    这显然是木马啊!
    luckyrayyy
        6
    luckyrayyy  
       2019-10-30 10:21:27 +08:00
    谁能给解释下啥意思..
    falcon05
        7
    falcon05  
       2019-10-30 10:22:21 +08:00 via iPhone
    这就是木马
    golden0125
        8
    golden0125  
       2019-10-30 10:23:31 +08:00
    恭喜你,中马了
    Dogergo
        9
    Dogergo  
       2019-10-30 10:24:28 +08:00
    是个木马

    ```php
    class EPLF
    {

    function __destruct()
    {
    return @assert("$this->RU");
    }
    }
    $a = new EPLF();
    @$a->RU = mkdir('/d/shellattack',0777,true);


    ```

    类似这样,可以通过远程请求该文件执行一些非法操作,执行的操作通过 post/get 提交的变量来处理。
    sauren
        10
    sauren  
       2019-10-30 10:26:54 +08:00   ❤️ 1
    一个 php 一句话木马。mr6 是密码。存在 id 参数时 base64 解密,不存在 id 时直接执行。usage:POST mr6=phpinfo() 将会执行 phpinfo。
    ahsjs
        11
    ahsjs  
       2019-10-30 10:35:44 +08:00
    析构方法过狗么。
    eason1874
        12
    eason1874  
       2019-10-30 10:36:25 +08:00
    assert,效果类似 eval。就是在析构的时候把 RU 变量作为代码字符串传给 assert 执行。
    laoyur
        13
    laoyur  
       2019-10-30 10:40:13 +08:00
    莫名喜感
    JingNi
        14
    JingNi  
       2019-10-30 10:42:43 +08:00
    构造函数的字符串连接,是专门绕过 waf 的一句话木马,直接能读写你网站根目录的文件,建议楼主备份数据库,检查网站访问日志还有运行环境,找可疑的访问用户。再审计上线原源码的图片上传点还有其他文件包含点吧。
    Mithril
        15
    Mithril  
       2019-10-30 10:43:18 +08:00   ❤️ 21
    被黑了居然还嫌人代码不规范
    被抢了嫌劫匪不够帅?
    locoz
        16
    locoz  
       2019-10-30 11:26:51 +08:00
    @Mithril #15 哈哈哈哈哈哈哈哈哈哈哈哈哈太精辟了
    leadfast
        17
    leadfast  
       2019-10-30 11:54:06 +08:00 via iPhone
    通常我会觉得这写的太牛批了,狗头保命
    wzhndd2
        18
    wzhndd2  
       2019-10-30 14:07:21 +08:00
    我也遇到过这种情况,但我是个懒人,我如何能避免自己的服务器免于这种情况呢
    frozenway
        19
    frozenway  
    OP
       2019-10-30 14:52:38 +08:00
    @wzhndd2 同问
    sunziren
        20
    sunziren  
       2019-10-30 15:00:58 +08:00
    @wzhndd2 拔网线
    wzhndd2
        21
    wzhndd2  
       2019-10-30 15:11:30 +08:00
    @sunziren #20 你可真是个机灵鬼
    loginv2
        22
    loginv2  
       2019-10-30 15:22:44 +08:00
    不装 PHP 就没事了
    care
        23
    care  
       2019-10-30 15:46:44 +08:00 via iPhone
    楼主是怎么发现服务器上多了个文件的🤣
    kcer
        24
    kcer  
       2019-10-30 15:50:03 +08:00
    哈哈哈哈~中奖了~
    frozenway
        25
    frozenway  
    OP
       2019-10-30 15:56:10 +08:00   ❤️ 2
    @care find /data/www -type f -name "*.php" -mtime -1 查找最近修改过的 php 文件
    NakeSnail
        26
    NakeSnail  
       2019-10-30 16:11:52 +08:00
    能这么写的在很多知识上比一般 PHP 深入多了,差在哪里。。规范?
    misskiki
        27
    misskiki  
       2019-11-01 13:34:56 +08:00
    兄弟不用怀疑 你已经中毒了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1017 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 21:07 · PVG 05:07 · LAX 13:07 · JFK 16:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.