【PHP后门】网站源码数据库内有后门，求助

udada · 发表于 2020-9-8 17:44

本帖最后由 udada 于 2020-9-8 18:23 编辑

介绍：源码是从互站上买来的，源码数据库都有，是经过卖家二次开发的，但是源码没发现有加密文件或代码，用市面上大多数后门搜查软件查过，之前自己分析过，也在【病毒救援区】让大佬看了一下，但是还是不彻底，依然有后门，

https://www.52pojie.cn/thread-1228846-1-1.html
上述链接帖子内有之前做过的具体说明，源码和数据库，以及部分分析，我自己已经无能为力liao，烦请各位大佬出手相助！很想找到到底用了什么后门

virustotal（www.virustotal.com）在线扫描了zip压缩包：没有任何问题，零报警

灵魂歌手 · 发表于 2020-9-8 17:44

wx的文件夹应该没问题，其他代码很乱！
function.php 262行那里将_session[shouquan_check]=1，然后将后面的fuction check_shouquan 注释掉或者删除！

lj1997 · 发表于 2020-9-8 18:10

请问源码呢？没有源码怎么分析？

udada · 发表于 2020-9-8 18:14

本帖最后由 udada 于 2020-9-8 18:22 编辑

lj1997 发表于 2020-9-8 18:10
请问源码呢？没有源码怎么分析？

源码都在【详细：】下面的链接帖子里，里面有之前做过的具体说明，以及部分分析，，，麻烦老哥进那个帖子查看吧

sxlixiaoyang · 发表于 2020-9-8 18:56

我估计是框架的锅，你把网址私给我我看看

udada · 发表于 2020-9-8 21:35

本帖最后由 udada 于 2020-9-8 21:36 编辑

灵魂歌手发表于 2020-9-8 21:22
wx的文件夹应该没问题，其他代码很乱！
function.php 262行那里将_session[shouquan_check]=1，然后将后面 ...

1个月之前就已经把 function.php 从262行开始到276的授权检测代码全删了，并且关闭了sql远程连接，现在又发现被篡改了，按照今天论坛里的老哥的结论来讲，就是，后门监控程序没删除干净导致每次执行到某一节点就自动加载生成了，目前情况就是这个监控程序太隐蔽，找不到

灵魂歌手 · 发表于 2020-9-8 21:43

udada 发表于 2020-9-8 21:35
1个月之前就已经把 function.php 从262行开始到276的授权检测代码全删了，并且关闭了sql远程连接，现在又 ...

你开个访问日志，等再次生成检查哪个文件出问题！

灵魂歌手 · 发表于 2020-9-8 21:50

udada 发表于 2020-9-8 21:35
1个月之前就已经把 function.php 从262行开始到276的授权检测代码全删了，并且关闭了sql远程连接，现在又 ...

如果想检查代码是否网站自己生成的可以限制外网访问，如果还有生成就是源码问题！网站访问日志可以检查每天的网站访问文件，一条条地过，找到异常的访问Ip！如果是授权网站访问一般是固定IP，屏蔽就是了，如果是被人攻击的话，就找到那个文件！

udada · 发表于 2020-9-8 22:04

灵魂歌手发表于 2020-9-8 21:50
如果想检查代码是否网站自己生成的可以限制外网访问，如果还有生成就是源码问题！网站访问日志可以检查每 ...

好的，刚好我做了反代，我在源机部署了这套源码，而入站规则只允许反代机访问，源机用的是宝塔搭建的，也可以看日志，

帐号		自动登录	找回密码
密码			注册[Register]